Sono sempre più diffusi, quasi su base giornaliera, gli attacchi di phishing tramite i codici QR, a partire dal mese di ottobre 2022. E, intanto, aumentano anche i vettori di attacco alternativi, come allegati PDF e file di archivio malevoli. Anche se il blocco di default dei file macro di Office da parte di Microsoft, deliberato lo scorso anno, li ha resi meno sfruttabili per diffondere malware.
In precedenza, quando l’utente apriva l’attachment e abilitava le macro, scaricava una DLL, la cui esecuzione installava il malware. Per questo motivo Microsoft ha deciso di bloccare le macro in automatico nei documenti Word ed Excel scaricati da Internet, inclusi gli allegati alle e-mail.
Sono questi i dati che emergono dal Quarterly Threat Insights Report di HP Wolf Security, relativo al quarto trimestre.
Indice degli argomenti
La minaccia del phishing tramite codici QR
Le frodi via scansione QR, su base quasi giornaliera, spingono gli utenti a effettuare le scansioni dei codici QR dai loro computer, usando i loro dispositivi mobili.
Secondo HP Wolf Security, i cyber criminali puntano a bypassare la protezione e il rilevamento del phishing su PC, per sfruttare device, come quelli mobili, potenzialmente più deboli ed esposti. I codici QR permettono di indirizzare gli utenti verso siti malevoli, come per esempio società di spedizioni a caccia di pagamenti.
Gli altri attacchi alternativi
HP ha inoltre scoperto un incremento del 38% degli allegati PDF malevoli. I recenti attacchi sfruttano immagini embedded che indirizzano a file ZIP crittografati, bypassando gli scanner dei gateway web e contagiando gli utenti.
Il PDF richiede agli utenti l’inserimento di una password per lo sblocco di un file ZIP. Così avviene l’installazione del malware QakBot o IcedID. Lo scopo è quello di ottenere l’accesso ai sistemi per consentire agli hacker di diffondere il ransomware.
Gli archivi attraggono i threat actor perché sono cifrati in maniera facile, rendendo difficile il rilevamento del malware a web proxy, sandbox e scanner e-mail. Molte organizzazioni usano archivi cifrati per ragioni legittime, dunque è una sfida respingere gli allegati alle email per policy.
I dettagli del malware QakBot
L’obiettivo principale di QakBot è quello di reperire il maggior numero di informazioni presenti sulle macchine delle vittime.
Il malware QakBot, noto anche come QBot, funge da primo punto di ingresso e si muove lateralmente all’interno della rete aziendale.
Il trojan bancario punta a rubare non solo i dati finanziari delle vittime, ma anche a trafugare le informazioni del browser, i tasti digitati e le credenziali. Gli attacchi che usano credenziali compromesse sono i secondi più diffusi, dopo quelli che sfruttano le vulnerabilità non risolte, secondo una recente indagine.
L’infezione di un ambiente permette al malware di installare una backdoor. Essa consente ai cyber criminali di rilasciare malware aggiuntivo, per esempio un ransomware.
In alcune campagne, infatti, durante la compromissione del sistema, il trojan bancario QakBot consente agli attori della minaccia di guadagnare un accesso da remoto che, successivamente, gli consente di distribuire software malevolo disabilitando anche i sistemi di sicurezza, quali per esempio EDR (Endpoint Detection and Response) e antivirus.
Per completare un’infezione da Qakbot, gli hacker hanno sfruttato file ISO, anche zippati, diffusi via e-mail. Ciò era consentito prima che Microsoft rilasciasse la patch relativa a MOTW, quando i file nelle ISO non portavano il contrassegno con Mark of The Web, un sistema che permette a Windows di avvertire gli utenti prima dell’apertura del file scaricato. Qakbot, inoltre, ha cambiato la modalità di caricare il suo payload malevolo: usa un file .VBS.
Il file VBS malevolo è offerto attraverso una ISO montata sull’unità D. Il file può eseguire a sua volta il modulo Qbot più comune nei recenti attacchi: fwpolicyiomgr.dll.
In una seconda fase, il modulo fwpolicyiomgr.dll è stato immesso in iexplore.exe, il processo che si collega a un ampio numero di server Qbot C2 scaricando file malevoli, al fine di reperire quante più informazioni possibili.
Questo grazie al processo getmac.exe, che effettua il download di una serie di moduli open source sul computer della vittima che consentiranno di raggiungere gli obiettivi prefissati come trafugare le credenziali del browser, carpire tutte le password o attingere a tutti i dati sensibili presenti sulla macchina.
Cresce la diffusione di file di archivio malevoli
La trasmissione del 42% delle minacce informatiche utilizza file di archivio come ZIP, RAR e IMG.
Secondo il report di HP, la diffusione degli archivi ha registrato un incremento del 20% dal primo trimestre del 2022. Gli autori delle minacce sfruttano gli script per l’esecuzione dei loro payload.
Invece, i file Office come Microsoft Word, Excel e PowerPoint veicolano il 38% del malware.
Come mitigare il rischio
Poiché l’avvio delle infezioni di QakBot avviene con un’e-mail di spam/phishing che contiene collegamenti URL malevoli, il suggerimento per proteggersi è tenere sempre alta l’attenzione.
Essere consapevoli dei rischi rimane la migliore postura di cyber sicurezza. Occorre imparare a riconoscere le e-mail di phishing con codici QR malevoli, le pagine web dall’aspetto che appare simile all’originale ma contenenti ortografia scorretta oppure link a siti malevoli.
Dobbiamo prestare massima attenzione ogni volta che si ricevono mail con “offerte che sembrano troppo belle per essere vere” oppure richieste via e-mail di dati personali e credenziali.
Bisogna seguire best practice e buone regole di comportamento per evitare di finire vittime del phishing e da attacchi veicolati anche con metodi alternativi.
Contributo editoriale sviluppato in collaborazione con HP
