L’analisi della campagna di phishing utile alla diffusione del malware multifunzione Byakugan evidenzia, prima di ogni altra cosa, lo stringente bisogno di un’appropriata cultura dei rischi e della cyber security.
In particolare, i ricercatori di FortiGuard Labs hanno scoperto che il malware Byakugan viene veicolato attraverso file Pdf che appaiono sfuocati e che invitano l’utente a cliccarci sopra per ottenerne una versione più leggibile.
Mancano i fondamentali: perché mai un mittente dovrebbe trasmettere un file non immediatamente consultabile? Una domanda tanto ovvia quanto fondamentale che getta una pessima luce sulla cultura cyber di chi non se la pone.
È opportuno, quindi, esaminare da vicino cosa fa Byakugan e come evitare di cadere in un facile tranello.
Allo stesso modo, vale la pena di mettere in risalto le debolezze strutturali che, per l’ennesima volta, emergono nell’ambito della cyber security, aspetto che approfondiamo con il contributo di Pierluigi Paganini, Ceo di CYBHORUS e membro Ad-Hoc Working Group on Cyber Threat Landscapes – ENISA.
Indice degli argomenti
Il malware multifunzione Byakugan
Cliccando sul link proposto dai file Pdf si preleva un dowlonader che provvede al download di una Dll legata a Byakugan che viene rinominato in chorme.exe.
Byakugan fa leva sull’ambiente di runtime JavaScript node.js e, tramite diverse librerie, implementa differenti funzionalità, tra queste spiccano:
- Il monitoraggio del desktop del computer infetto
- Il keylogging che apre al rischio di esfiltrazione di dati sensibili
- Attività di mining usando, a piacimento dell’attaccante, CPU o GPU
Non di meno, al fine di evitare di essere rilevato, Baylugan crea delle regole apposite nel firewall e in Windows Defender (qui abbiamo spiegato come configurarlo al meglio).
Cosa fare e cosa sapere per evitare infezioni
I rimedi sono quelli canonici e questo deve fare riflettere perché Byakugan, pure essendo relativamente complesso da rilevare a infezione avvenuta, non è tanto rivoluzionario da mettere in ginocchio le infrastrutture di difesa di un’organizzazione.
Per limitare gli attacchi di phishing o più in generale di malspam è utile avere strumenti di difesa aggiornati, impiegare password complesse e puntare sull’autenticazione a due fattori. Tutto ciò è però veramente efficace se l’operatore umano è sufficientemente preparato a non divulgare dati sensibili e ha almeno un’infarinatura delle tecniche usate dagli hacker. Ed è proprio questo l’ambito in cui occorre fare di più.
La cyber cultura che fa difetto
Byakugan è da considerare la cristallizzazione di un nervo scoperto. Il fatto che si presenti sotto forma di un file pdf scarsamente leggibile dovrebbe fare scattare un allarme e, nonostante ciò, c’è chi cade nella trappola.
Pierluigi Paganini ricorda che: “Come evidenziano molti rapporti pubblicati da aziende di sicurezza ed istituzioni governative, il fattore umano continua ad essere la principale causa del successo di attacchi informatici basati su l’ingegneria sociale. La tecnica nello specifico è nota da anni ed utilizza file di diversi formati, ivi compresi file di Office.
Purtroppo, le vittime ignorano completamente le minacce informatiche e le tattiche, tecniche e procedure utilizzate da diverse categorie di attaccanti.
Secondo il Data Breach Investigations Report 2024 pubblicato da poco, metà delle violazioni nell’area EMEA più di due terzi (68%) delle violazioni di dati, a livello globale, coinvolgono un’azione umana non commessa intenzionalmente. Le tecniche di social engineering sono alla base di questi dati allarmanti”.
Il social engineering è un’arma tagliente che gli attaccanti usano per penetrare reti e sistemi e, per limitarne la gittata, serve un’opportuna cultura non impossibile da diffondere. Tuttavia, come spiega Pierluigi Paganini: “Purtroppo, vige ancora l’errata considerazione che la cyber sicurezza sia un costo da ridurre e non un’opportunità. La formazione è interpretata come spreco di tempo e un costo da contenere. È evidente che non si comprende a pieno l’importanza della postura di sicurezza. Le aziende più virtuose hanno compreso l’importanza della formazione in ottica resilienza e sono in grado di sfruttare questo concetto anche in termini competitivi e per operare in catene del valore e mercati più ampi che richiedono il rispetto di requisiti stringenti in materia cyber security”.
In altri termini: quelli legati alla cyber security sono costi che consentono di conseguire profitti, giacché partecipano alla continuità di business di un’impresa. Gli hacker avranno vita (più) facile fino a quando i vertici delle aziende non lo comprenderanno.
