In un mondo sempre più digitalizzato, la tecnica del phishing continua a essere una delle principali minacce per individui e organizzazioni: recenti ricerche condotte da Elastic Security Labs hanno rivelato una campagna malevola in corso che sfrutta esche a tema lavorativo (job searching) per distribuire una pericolosa backdoor per Windows denominata WARMCOOKIE.
Indice degli argomenti
Il meccanismo di attacco
La campagna, attiva dalla fine di aprile, utilizza messaggi e-mail mascherati da comunicazioni ufficiali di rinomate agenzie di reclutamento come Hays, Michael Page e PageGroup.
Questi messaggi invitano i destinatari a cliccare su un link per visualizzare dettagli su opportunità di lavoro. Una volta cliccato il link, gli utenti vengono indirizzati a una pagina che richiede di risolvere un CAPTCHA per scaricare un documento.
In realtà, ciò che viene scaricato è un file JavaScript offuscato (“Update_23_04_2024_5689382.js”), che avvia una serie di operazioni per installare WARMCOOKIE sul sistema.
Le funzionalità di WARMCOOKIE
Secondo il ricercatore Daniel Stepanic, WARMCOOKIE funge da strumento iniziale di backdoor per esplorare le reti delle vittime e distribuire ulteriori payload dannosi.
Questa backdoor è progettata per acquisire informazioni dettagliate sui sistemi infetti, tra cui impronte digitali, screenshot e l’eliminazione di altri programmi dannosi.
Inoltre, utilizza il Servizio trasferimento intelligente in background (BITS) di Windows per scaricare il payload, rendendo difficile il rilevamento da parte delle protezioni di sicurezza tradizionali.
Una delle caratteristiche distintive di WARMCOOKIE è la sua capacità di persistenza.
La backdoor, una DLL di Windows, segue un processo in due fasi: stabilisce la persistenza tramite un’attività pianificata e attiva la sua funzionalità principale dopo aver eseguito controlli anti-analisi per eludere il rilevamento.
Questo approccio sofisticato rende WARMCOOKIE una minaccia significativa per le reti aziendali.
WARMCOOKIE: le similitudini con altre campagne
La metodologia di WARMCOOKIE ricorda una precedente campagna, denominata Resident, che aveva preso di mira organizzazioni manifatturiere, commerciali e sanitarie.
Anche in quel caso, la backdoor era progettata per raccogliere informazioni dettagliate sull’host infetto e supportava comandi per leggere e scrivere su file, eseguire comandi tramite cmd.exe, recuperare l’elenco delle applicazioni installate e acquisire screenshot.
Parallelamente, Trustwave SpiderLabs ha scoperto un’altra campagna di phishing che utilizza esche relative a fatture e sfrutta la funzionalità di ricerca di Windows per distribuire malware.
In questo caso, i messaggi di posta elettronica contengono un archivio ZIP con un file HTML, che sfrutta il protocollo URI “search:” di Windows per mostrare un file di collegamento (LNK) in Esplora risorse, ingannando l’utente a pensare che si tratti di un risultato di ricerca locale.
Cliccando sul file LNK, viene eseguito uno script batch (BAT) che può attivare ulteriori operazioni dannose.
Soluzioni di mitigazione del rischio
Le recenti scoperte evidenziano l’evoluzione continua delle tecniche di phishing e la necessità di adottare misure di sicurezza avanzate.
La fiducia che gli utenti ripongono in interfacce familiari viene abilmente sfruttata dai cybercriminali per diffondere malware.
È fondamentale che individui e aziende rimangano vigili, aggiornino regolarmente i loro sistemi di sicurezza e formino il personale sui pericoli del phishing.
Solo attraverso un approccio proattivo alla sicurezza informatica sarà possibile mitigare i rischi associati a queste minacce in continua evoluzione.
