Mentre il mondo è ancora sotto shock per l’orribile tragedia accaduta durante la Maratona di Boston di lunedì, i criminali informatici stanno cercando di sfruttare la sete di informazioni della gente e il desiderio di aiutare le persone colpite dall’attentato.
Websense ThreatSeeker Network sta attualmente rilevando e bloccando diverse campagne email che cercano di attirare ignari destinatari su siti Web malevoli in modo da poter poi sfruttare le loro macchine per scopi criminali.
Seguiamo questa campagna attraverso le 7 fasi delle Minacce Avanzate per vedere come i criminali informatici tentano di ingannare e compromettere gli utenti e le loro macchine. Di seguito le modalità per proteggersi da eventuali attacchi informatici di questo tipo:
Fase 1: Esplorazione
Questa campagna, come molte altre relative ad argomenti specifici o ad avvenimenti importanti, tenta di espandersi il più possibile, invece di colpire i singoli individui o le organizzazioni. I criminali alle spalle di una campagna malevola identificano una notizia che abbia un appeal globale (in questo caso, gli eventi di lunedì), per poi diffonderla e raggiungere quante più persone possibile.
Fase 2: Esca
Sfruttando la curiosità, in particolare dopo un evento significativo, l’esca viene progettata per ingannare il maggior numero di vittime. Nelle campagne email che sono state monitorate dai Websense Security Labs, gli oggetti della mail sono stati pensati per far credere che il messaggio contenga nuove informazioni sull’evento:
• 2 Explosions at Boston Marathon
• Aftermath to explosion at Boston Marathon
• Boston Explosion Caught on Video
• BREAKING – Boston Marathon Explosion
• Explosion at the Boston Marathon
• Explosions at Boston Marathon
• Explosions at the Boston Marathon
• Runner captures. Marathon Explosion
• Video of Explosion at the Boston Marathon
Il corpo stesso del messaggio, in molti casi, contiene un singolo URL così strutturato http://<IP Address>/news.html o http://<IP Address>/boston.html senza ulteriori dettagli o maggiori informazioni. A questo punto, il destinatario è invogliato a cliccare il link maligno, che rimanda alla terza fase.
Fase 3: Reindirizzamento
Dopo aver cliccato il link, la vittima inconsapevole visualizza una pagina contenente i video di YouTube sugli orribili eventi accaduti (volutamente oscurato nell’immagine sotto), mentre un iframe li reindirizza a una pagina di exploit.
Fase 4: Kit di exploit
In base a un’analisi svolta su un set campione di URL malevoli rilevati finora in questa campagna, il kit di exploit RedKit è stato utilizzato, nel nostro caso, per sfruttare la vulnerabilità Oracle Java 7 Security Manager Bypass (CVE-2013-0422) al fine di consegnare un file sulla macchina di analisi.
Fase 5: File Dropper
Invece di utilizzare un file dropper che contiene al suo interno un codice malevolo e spesso ‘impacchettato’ per evitare di essere rilevato da parte delle signature dell’antivirus, questa campagna utilizza un downloader che appartiene alla famiglia Win32/Waledac, utilizzata per scaricare altri file binari dannosi.
Fase 6: Call Home – Fase 7: Data Theft
Una volta che la macchina compromessa è sotto il controllo dei criminali informatici, le bot call home, che consentono di attivare comandi remoti e inviare e ricevere i dati. Gli abusi più comuni condotti su una macchina compromessa prevedono tra le varie attività la raccolta e la fuga di dati, come ad esempio il furto di informazioni finanziarie e personali. Altri abusi riguardano invece l’invio di email indesiderate o la partecipazione involontaria ad attacchi Distributed Denial of Service.
I clienti Websense sono protetti da ACE, il nostro Advanced Classification Engine, contro le minacce informatiche di questa natura. Oltre a bloccare le esche nella fase 2, prima che raggiungano gli utenti finali, viene negato l’accesso alle destinazioni dannose durante le fasi dalla 3 alla 6 e, che, insieme al controllo della perdita di dati per prevenire che si verifichi la fase 7, contribuirà a garantire che questi non finiscano nelle mani sbagliate.
“Continuiamo a vedere cybercriminali che utilizzano gli eventi tragici per sfruttare la sete di informazione e il desiderio di aiutare le persone colpite dall’attentato. E’ importante per le aziende riconoscere che senza il giusto livello di protezione, i propri dipendenti possono accedere ad email o siti Web che possono fornire ai criminali informatici un accesso alla rete aziendale. Una soluzione di sicurezza deve offrire una protezione proattiva in tempo reale contro questi attacchi e in ultima analisi bloccare la comunicazione con l’host, in modo che i dati non escano dall’azienda. Il nostro pensiero va alle vittime e alla loro famiglie. Mentre questi abusi informatici sono di minore importanza rispetto alla tragedia accaduta, gli utenti devono comunque proteggersi durante la ricerca delle notizie, aggiornandosi tramite agenzie di stampa affidabili”, ha dichiarato Carl Leonard, Senior Manager Security Research, Websense Security Labs.