Malware distribuiti nelle immagini: ecco la nuova frontiera del phishing

In due recenti campagne di phishing gli aggressori hanno distribuito dei malware attraverso immagini, a dimostrazione di quanto sia essenziale rimanere aggiornati sulle ultime minacce e incidenti nel panorama sempre mutevole della sicurezza informatica.

In particolare, nell’MSP Cybersecurity News Digest di Acronis sono stati evidenziati alcuni eventi chiave che hanno avuto un impatto significativo per le organizzazioni. Analizziamoli nel dettaglio.

Il phishing distribuisce malware nelle immagini

Tornando ai due recenti attacchi phishing condotti attraverso immagini malevole ed entrambi analizzati da HP Wolf Security, il vettore iniziale è stata un’e-mail mascherata da fattura e ordine di acquisto.

In tutti e due i casi è stato utilizzato il medesimo sito web di file hosting (archive[.]org) e lo stesso loader .NET per installare i payload finali: uno script PowerShell scarica un’immagine da un server remoto, estrae il codice codificato in Base64 ed esegue lo stesso loader basato su .NET.

La differenza consiste nella catena di attacco che culmina con il rilascio di VIP Keylogger (un malware che carpisce sequenze di tasti, il contenuto degli appunti, schermate e credenziali e che condivide similitudini funzionali con Snake Keylogger e 404 Keylogger) in un caso e il ladro di informazioni Obj3ctivity Stealer nell’altro.

Gli autori della minaccia avrebbero utilizzato e-mail con allegati Excel malevoli sfruttando la vulnerabilità nota di Equation Editor tracciata come CVE-2017-11882 per distribuire VIP Keylogger e con archivi dannosi per rilasciare Obj3ctivity Stealer.

Entrambe le campagne evidenziano la continua evoluzione delle tattiche degli aggressori e suggeriscono che i criminali informatici stanno sfruttando kit di malware predefiniti per semplificare gli attacchi e ridurre le competenze tecniche richieste.

Belsen Group Leak: configurazioni Fortigate compromesse

Un altro evento preoccupante è legato alla massiccia fuga di dati subita dal gruppo di attori di minacce Belsen Group. Oltre 15.000 configurazioni di firewall Fortigate sono state esposte, mettendo a rischio firewall rules, chiavi private e password VPN.

I dati trapelati sarebbero stati raccolti dal gruppo nel 2022 utilizzando una vulnerabilità zero-day tracciata come CVE-2022–40684 e i paesi coinvolti sarebbero Stati Uniti, Regno Unito, Polonia e Belgio, seguiti da Francia, Spagna, Malesia, Paesi Bassi, Thailandia e Arabia Saudita.

Questa violazione ha conseguenze potenzialmente devastanti, poiché i firewall sono la prima linea di difesa contro gli attacchi informatici. La perdita delle configurazioni potrebbe consentire agli aggressori di bypassare le difese e accedere a reti sensibili.

L’importanza di una robusta gestione delle configurazioni e della protezione delle chiavi private non può essere sottovalutata. Le configurazioni dei firewall andrebbero regolarmente verificate e protette da accessi non autorizzati.

Attacchi ransomware nel Regno Unito

Nel Regno Unito, due significativi attacchi ransomware hanno colpito Blacon High School e il Gateshead Council. Questi attacchi hanno causato gravi interruzioni, con conseguenti perdite di dati e interruzioni dei servizi.

Le scuole e i consigli comunali sono spesso bersagliati a causa della loro vulnerabilità e della quantità di dati sensibili che gestiscono.

L’importanza di misure preventive solide come backup regolari, segmentazione della rete e formazione del personale sulla sicurezza informatica è cruciale.

La resilienza agli attacchi ransomware richiede un approccio proattivo e multilivello.

Come proteggersi

La prevenzione, la formazione e una strategia di sicurezza ben strutturata sono fondamentali per affrontare le minacce moderne.

Ecco alcuni consigli pratici per difendersi dalle insidie evidenziate dall’MSP Cybersecurity News Digest.

Difendersi dalle campagne di phishing

1. Utilizzare filtri avanzati per le e-mail per bloccare messaggi sospetti e malware prima che raggiungano gli utenti finali.
2. Implementare soluzioni che analizzano immagini e allegati per rilevare contenuti malevoli.
3. Abilitare l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza agli account degli utenti.

Proteggere le configurazioni firewall

1. Assicurarsi che tutte le configurazioni dei firewall siano crittografate e accessibili solo a personale autorizzato.
2. Mantenere i firmware e i software dei firewall aggiornati per garantire la protezione contro le vulnerabilità note.
3. Implementare politiche di controllo degli accessi rigorose per limitare chi può modificare o visualizzare le configurazioni dei firewall.

Prevenzione degli attacchi ransomware

1. Eseguire backup frequenti dei dati critici e conserva i backup offline per proteggerli da attacchi ransomware.
2. Dividere la rete in segmenti per limitare la diffusione del ransomware in caso di infezione.
3. Utilizzare software antivirus, firewall avanzati e soluzioni di rilevamento delle intrusioni per rilevare e bloccare il ransomware prima che possa causare danni.