Double Agent, più forte degli antivirus

E’ noto da tempo che un veicolo preferenziale per attacchi di tipo Ransomware sono delle campagne di Phishing mirate a sfruttare con tecniche di Social Engineering la buona fede degli utenti per portare attacchi lato client. Negli ultimi mesi in Italia sono state numerose le campagne di Phishing basate sull’invio di false fatture. Tipicamente le mail contenevano uno script java mascherato con files con doppia estensione oppure contenuto in un archivio compresso in formato zip.

Per evitare che attacchi di questo tipo possano avere successo è sufficiente adottare delle policy restrittive sul tipo di allegati permessi nel traffico di posta elettronica, oltre che configurare degli adeguati filtri antispam.

Purtroppo questo tipo di attacco si è ulteriormente evoluto. Abbiamo rilevato infatti delle mail che veicolano un allegato html, per eludere i normali filtri di posta: infatti nel traffico di posta legittima capita spesso di avere allegati di tipo html, per cui è facile per chi vuole eludere i controlli far arrivare il messaggio a destinazione. Di seguito descriviamo brevemente come viene portato questo tipo di attacco:

Fase 1: Invio mail phishing
L’utente riceve una mail con una notifica di fattura simile alla seguente:

L’allegato è un file hmtl che pertanto elude i filtri sugli allegati.

Fase 2: L’utente apre l’allegato
Viene visualizzata una pagina che invita a scaricare la fattura:

A questo punto è interessante analizzare il codice html: infatti il link maschera il seguente URL:

Questo link pone due problemi di sicurezza:

  • E’ un link HTTPS: poche aziende hanno implementato policy di HTTPS Inspection, pertanto il traffico generato da questo link passa senza controlli firewall ed eventuali proxy server
  • E’ un link dropbox: molte aziende usano dropbox quale strumento aziendale di condivisione delle informazioni aziendali, pertanto è probabile che il traffico verso dropbox non sia filtrato

Fase 3: Attivazione dell’exploit
Selezionando il link, l’utente scarica sul proprio pc un file ZIP contenente l’exploit:

Il file js è un javascript offuscato che lancia il vero e proprio exploit e conduce l’attacco:

Dal codice si può notare subito che viene scaricato un file “dew.fgh” dall’url “hxxp://stapsole.pl/file”; si tratta di un eseguibile usato per lanciare l’attacco.

In conclusione, per evitare che attacchi di questo tipo possano avere successo, è necessario oltre alle normali politiche di sicurezza e di protezione degli endpoint e del traffico di posta, pianificare l’introduzione di nuovi sistemi di protezione, in particolare:

  • HTTPS Inspection a livello di proxy o gateway Internet
  • Analisi in sandbox dei codici sconosciuti

Euro Informatica è in grado di supportare il cliente per analizzare e implementare sistemi di sicurezza basati sulle tecnologie leader di mercato che coprono ogni esigenza di protezione.