I ricercatori di ESET hanno scoperto attacchi informatici mirati, tramite l’utilizzo di spear phishing su LinkedIn, con l’impiego di trucchi efficaci per non essere rilevati e il duplice obiettivo di sottrarre dati riservati ed ottenere un guadagno economico. Gli attacchi, soprannominati Operazione In(ter)ception, sulla base del campione di malware correlato “Inception.dll”, hanno avuto luogo da settembre a dicembre 2019.
Le intrusioni avevano origine da un messaggio LinkedIn. A tal proposito, Dominik Breitenbacher, ricercatore di ESET che ha analizzato il malware e condotto l’indagine ha commentato: “Il messaggio conteneva un’offerta di lavoro abbastanza credibile, apparentemente proveniente da società note in settori di rilievo. Naturalmente, il profilo LinkedIn era falso e i file inviati erano dannosi. Gli attacchi studiati hanno mostrato tutti i segni dello spionaggio, con diversi indizi che suggeriscono un possibile collegamento con il famigerato gruppo Lazarus. Tuttavia, né l’analisi del malware né l’indagine ci hanno permesso di ottenere informazioni sui file a cui gli aggressori miravano”.
I file venivano inviati direttamente tramite messaggi o posta elettronica contenente un collegamento OneDrive. Per quest’ultima opzione, gli aggressori avevano creato account di posta elettronica corrispondenti a falsi profili su LinkedIn.
Una volta aperto il file, veniva visualizzato un documento PDF, apparentemente innocuo, con informazioni relative ad una offerta lavorativa. Contemporaneamente si installava il malware, senza essere rilevato, sul computer della vittima. In questo modo, gli aggressori riuscivano a stabilire una connessione.
In un secondo momento, gli hacker effettuavano una serie di passaggi che ESET ha studiato e descritto nel white paper “Operazione In(ter)ception: attacchi mirati contro le società aerospaziali e militari europee.” Tra gli strumenti utilizzati dagli aggressori c’era un malware multistadio personalizzato, ossia una versione modificata di strumenti open-source e tecniche del cosiddetto “Living off the land”, che utilizzano impropriamente utility di Windows preinstallate, per eseguire varie operazioni dannose.
Oltre allo spionaggio, i ricercatori ESET hanno anche sottolineato che gli aggressori tentavano di utilizzare gli account compromessi per sottrarre denaro.
Tra le e-mail delle vittime, ad esempio, gli aggressori hanno comunicato con un cliente, relativamente ad una fattura non pagata, esortandolo al pagamento con le proprie coordinate bancarie. Fortunatamente, in quel caso, l’acquirente si è insospettito e ha contattato la vittima, vanificando, così, il tentativo degli aggressori di portare a termine il cosiddetto “business email compromise attack”.
