E’ allarme lanciato da Forcepoint X-Labs, i laboratori dedicati alla raccolta dei dati sulle minacce e sull’intelligenza comportamentale
Forcepoint X-Labs hanno recentemente monitorato le campagne di distribuzione di malware che utilizzano la piattaforma Java.
I downloader di Java sono una minaccia nota da tempo, ma esiste almeno una funzionalità inesplorata della piattaforma che aiuta ad automatizzare il download e l’esecuzione del malware. Il protocollo JNLP (Java Network Launch Protocol), nato come semplice meccanismo per avviare applicazioni Java remote, viene attualmente sfruttato come strumento prediletto per eseguire automaticamente file Java dannosi.
Ma che cos’è nello specifico Java Web Start?
Java Web Start o Java Network Launch Protocol – come spesso chiamato dai programmatori – è un protocollo che utilizza il linguaggio di markup XML ed è stato progettato al solo scopo di avviare automaticamente le applicazioni Java da remoto. Affinché funzioni, il file JNLP deve contenere un indirizzo host e un percorso JAR (Java application package) di destinazione da scaricare ed eseguire. Una volta che l’utente ha cliccato su un file JNLP, Java tenterà di raggiungere l’host descritto nella struttura XML, scaricare il pacchetto JAR specificato e, in caso di successo, eseguirlo. L’unico prerequisito per utilizzarlo è l’esistenza di Java Runtime Environment (JRE) sul PC locale.
Risulta, quindi, piuttosto ovvio che questa funzionalità rappresenti uno strumento perfetto per automatizzare il download e l’esecuzione di file dannosi, favorendo così il proliferare dei malware.
The Italian job. Il caso INPS
Le campagne spam che utilizzano un allegato JNLP, così com’è o all’interno di un archivio ZIP, hanno iniziato ad aumentare nelle ultime settimane. I messaggi, analizzati da Forcepoint X-Labs, sembrano arrivare direttamente dall’INPS, il cui nome e la cui autorevolezza, in questo caso, vengono utilizzati meramente come esca. È bene ricordare che l’INPS era già stato oggetto di cyber attacchi a inizio 2020, proprio nel periodo legato all’erogazione della CIG, in pieno lockdown.
Il testo della mail fasulla presenta anche il logo dell’INPS ma, guardando attentamente, sia l’indirizzo del mittente sia il corpo del messaggio sono scritti in modo maldestro, mentre l’allegato risulta fin da subito sospetto: aprendolo con un editor di testo, infatti, viene chiaramente rivelato l’indirizzo a un server C2.
Come chiaramente dimostrato dal caso appena preso in analisi, avere funzionalità di avvio automatico in applicazioni o piattaforme popolari non garantisce automaticamente una sicurezza al 100%. Molto spesso, infatti, queste rappresentano il perfetto campo d’azione dei criminali informatici, come la funzione Web Start di Java, che è diventata uno degli strumenti preferiti dai cyber criminali. Per questo è importante che le aziende siano al corrente dei possibili rischi e che blocchino tutti i file JNLP allegati a livello di gateway per impedire l’esecuzione indesiderata e le relative conseguenze.
“L’analisi effettuata dal nostro X-Labs rivela come i rischi per le aziende siano sempre elevatissimi e che possano provenire anche da strumenti, piattaforme o funzionalità che si consideravano sicure.
I clienti su piattaforma Forcepoint in questo caso sono protetti da queste minacce in quanto:
- Le mail associate a questo attacco sono identificate e bloccate
- Il download di questi file malevoli è bloccato
- Sono bloccati anche i tentativi di comunicazione con il server C2
In tempi come questi dove il lavoro da remoto è diventato una sorta di nuova normalità, è indispensabile adottare soluzioni che siano in grado di proteggere utenti e patrimonio informativo da questo tipo di attacchi. Aspetti come la convergenza di servizi di connettività e sicurezza o di integrazione tra più servizi di sicurezza assumono un’importanza sempre maggiore. Per questo Forcepoint ha recentemente sviluppato e lanciato sul mercato Cloud Security Gateway (CSG), un servizio di sicurezza convergente e 100% cloud, che consente una evoluzione rapida verso un concetto di connettività sicura con web, cloud e data protection integrate. Una piattaforma gestita centralmente è più efficace di un assortimento di singoli prodotti, che il più delle volte sono difficili da utilizzare correttamente tutti insieme. Al contrario, l’uso di un’unica piattaforma integrata come CSG permette all’azienda di avere un unico punto di visibilità e controllo, e contemporaneamente di standardizzare l’uso delle soluzioni, migliorando quindi il loro funzionamento. La standardizzazione delle soluzioni migliora l’efficienza della sicurezza aziendale e il consolidamento consente anche un notevole risparmio in termini di budget”, spiega Alessandro Biagini, Regional Sales Manager di Forcepoint Italia.