Da asporto chiave
- Gli hacker dietro un malware per il furto di password utilizzano metodi innovativi per indurre le persone ad aprire e-mail dannose.
- Gli aggressori utilizzano la casella di posta hackerata di un contatto per inserire gli allegati carichi di malware nelle conversazioni e-mail in corso.
-
Ricercatori di sicurezza suggeriscono che l'attacco sottolinei il fatto che le persone non dovrebbero aprire ciecamente gli allegati, anche quelli provenienti da contatti noti.
Potrebbe sembrare strano quando un tuo amico si lancia in una conversazione e-mail con un allegato che ti aspettavi per metà, ma dubitare della legittimità del messaggio potrebbe salvarti da malware pericolosi.
Gli investigatori della sicurezza di Zscaler hanno condiviso dettagli sugli attori delle minacce che utilizzano nuovi metodi nel tentativo di eludere il rilevamento, per far circolare un potente malware chiamato Qakbot per il furto di password. I ricercatori della sicurezza informatica sono allarmati dall'attacco ma non sorpresi dal fatto che gli aggressori stiano perfezionando le loro tecniche.
"I criminali informatici aggiornano costantemente i loro attacchi per cercare di evitare il rilevamento e, in definitiva, raggiungere i loro obiettivi", ha detto a Lifewire via e-mail Jack Chapman, VP of Threat Intelligence di Egress. "Quindi, anche se non sappiamo esattamente cosa proveranno dopo, sappiamo che ci sarà sempre una prossima volta e che gli attacchi sono in continua evoluzione."
Hacker di quartiere amichevole
Nel loro post, Zscaler esamina le varie tecniche di offuscamento che gli aggressori utilizzano per convincere le vittime ad aprire la loro e-mail.
Ciò include l'uso di nomi di file allettanti con formati comuni, come. ZIP, per indurre le vittime a scaricare gli allegati dannosi.
L'offuscamento del malware è una tattica popolare ormai da molti anni, ha condiviso Chapman, affermando di aver visto attacchi nascosti in numerosi tipi di file diversi, inclusi PDF e ogni tipo di documento di Microsoft Office.
"I sofisticati attacchi informatici sono progettati per offrire le migliori possibilità di raggiungere i loro obiettivi", ha affermato Chapman.
È interessante notare che Zscaler nota che gli allegati dannosi vengono inseriti come risposte nei thread di posta elettronica attivi. Anche in questo caso Chapman non è sorpreso dalla sofisticata ingegneria sociale in gioco in questi attacchi. "Una volta che l'attacco ha raggiunto l'obiettivo, il criminale informatico ha bisogno che agisca, in questo caso, per aprire l'allegato e-mail", ha condiviso Chapman.
Keegan Keplinger, Research and Reporting Lead di eSentire, che ha rilevato e bloccato una dozzina di incidenti della campagna Qakbot solo nel mese di giugno, ha anche indicato l'uso di caselle di posta compromesse come punto culminante dell'attacco.
"L'approccio di Qakbot aggira i controlli sulla fiducia umana e gli utenti sono più propensi a scaricare ed eseguire il carico utile, pensando che provenga da una fonte attendibile", ha detto Keplinger a Lifewire via e-mail.
Adrien Gendre, Chief Tech and Product Officer di Vade Secure, ha sottolineato che questa tecnica è stata utilizzata anche negli attacchi Emotet del 2021.
"Gli utenti sono comunemente addestrati a cercare indirizzi e-mail contraffatti, ma in un caso come questo, controllare l'indirizzo del mittente non sarebbe utile perché si tratta di un indirizzo legittimo, anche se compromesso", ha detto Gendre a Lifewire in un discussione via email.
La curiosità ha ucciso il gatto
Chapman afferma che, oltre a sfruttare la relazione preesistente e la fiducia costruita tra le persone coinvolte, l'uso da parte degli aggressori di tipi di file ed estensioni comuni fa sì che i destinatari siano meno sospettosi e più propensi ad aprire questi allegati.
Paul Baird, Chief Technical Security Officer UK di Qualys, osserva che sebbene la tecnologia dovrebbe bloccare questi tipi di attacchi, alcuni sfuggiranno sempre. Suggerisce che tenere le persone al corrente delle attuali minacce in una lingua che capiranno è l'unico modo per frenare la diffusione.
"Gli utenti dovrebbero fare attenzione ed essere addestrati, che anche un indirizzo email affidabile può essere dannoso se compromesso", ha concordato Gendre. "Questo è particolarmente vero quando un'e-mail include un collegamento o un allegato."
Gendre suggerisce che le persone dovrebbero leggere attentamente le loro e-mail per assicurarsi che i mittenti siano chi affermano di essere. Sottolinea che le e-mail inviate da account compromessi sono spesso brevi e al punto con richieste molto schiette, il che è un buon motivo per contrassegnare l'e-mail come sospetta.
Aggiungendo a questo, Baird sottolinea che le email inviate da Qakbot saranno normalmente scritte in modo diverso rispetto alle conversazioni che di solito hai con i tuoi contatti, il che dovrebbe fungere da altro segnale di avvertimento. Prima di interagire con eventuali allegati in un'e-mail sospetta, Baird suggerisce di connetterti con il contatto utilizzando un canale separato per verificare l'autenticità del messaggio.
"Se ricevi email [con] file [che] non ti aspetti, non guardarli", è il semplice consiglio di Baird. "La frase 'La curiosità ha ucciso il gatto' si applica a tutto ciò che ricevi tramite e-mail."
