In uno scenario delle minacce in evoluzione, guadagnano terreno i finti aggiornamenti. I website inject malevoli, con molteplici attaccanti, utilizzano questa tecnica di distribuzione dinamica di malware.
“Il rapporto di Proofpoint dimostra quanto i website inject siano diventati uno strumento chiave per la diffusione di malware”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
Website inject: catena di attacco in tre atti
In genere, una catena di attacco si snoda in tre atti:
- gli inject pericolosi diretti a chi visita il sito, che frequentemente sono script JavaScript rischiosi;
- un servizio di distribuzione del traffico (TDS) che può stabilire quale utente riceve quale payload sulla base di un ventaglio di funzionalità di filtering;
- il payload finale che è in download dallo script.
Talora accade che a gestire l’intera catena di attacco sia lo stesso attore malevolo. Tuttavia, spesso, sono criminali differenti che gestiscono le sue varie parti.
I dettagli delle campagne di web inject
TA569 è stato, storicamente, il principale distributore di campagne di web inject, con i suoi inject SocGholish che conducono a installare malware e successivi attacchi ransomware.
Questo attore ormai è sinonimo di “falsi aggiornamenti” nella community di sicurezza. Ma a partire dal 2023 diversi imitatori hanno sfruttato lo stesso metodo di web inject e di reindirizzamento del traffico per la diffusione malware.
La convergenza di più attori, alcuni dei quali cooperano tra loro, insieme al fatto che i siti web rischiano di essere compromissi da parte di più inject in contemporanea, rende complesso il tracciamento e la classificazione degli attori delle minacce che sferrano questi attacchi.
Inoltre, i ricercatori di Proofpoint hanno identificato recentemente due nuovi threat actor, TA2726 e TA2727. Sono venditori di traffico e distributori di malware, già passati sotto osservazione in varie catene di attacchi basati su web, come campagne di siti compromessi, incluse quelle che usano esche a tema di falsi aggiornamenti. Non sono attori che sfruttano email e l’attività, che emerge nei dati delle campagne email, è connessa a siti legittimi, ma già compromessi.
“L’emergere di nuovi attori come TA2726 e TA2727, insieme alla crescente collaborazione tra gruppi di cyber criminali, rende ancora più difficile tracciare e contrastare queste minacce. L’uso di falsi aggiornamenti e il reindirizzamento del traffico basato sul sistema operativo dimostra quanto queste campagne siano sofisticate e mirate”, mette in evidenza Paganini.
Come proteggersi
Il panorama della sicurezza informatica continua a essere molto dinamico. Richiede ad aziende e organizzazioni di mantenere l’attenzione alta, adottando un approccio zero trust e misure preventive e proattive per mitigare il rischio delle minacce emergenti.
“Il metodo utilizzato dall’attore malevolo TA2727, basato sulla diffusione di falsi aggiornamenti, sfrutta la fiducia degli utenti nei software legittimi, inducendoli a installare codici malevoli. Questo fenomeno evidenzia la necessità di una maggiore consapevolezza sulla sicurezza informatica anche tra gli utenti Mac, spesso meno attenti alle minacce rispetto a quelli Windows”, conclude Paganini.
