I server che ospitano il servizio cloud Microsoft Azure vengono utilizzati sempre più spesso dai criminal hacker per diffondere malware oppure come server di comando e controllo per inviare istruzioni malevoli ai sistemi già compromessi.
Microsoft Azure, lo ricordiamo, è la piattaforma di cloud computing offerta da Microsoft che può essere utilizzata per costruire, testare, distribuire e gestire applicazioni e servizi attraverso i data center gestiti direttamente dalla software house di Redmond.
Il servizio cloud di Microsoft, in particolare, offre facilità di implementazione e hosting web a basso costo. Inoltre, grazie alla funzione App Services, consente di pubblicare rapidamente e facilmente un gran numero di siti web sul cloud. Siti che, una volta pubblicati, saranno ospitati sul dominio azurewebsites.net utilizzando nomi come nomesito.azurewebsites.net.
Questa particolare caratteristica è stata sfruttata recentemente dai criminal hacker per massicce campagne di phishing spacciate per il supporto tecnico di Microsoft e per avvisi di sicurezza relativi alle applicazioni della suite Office 365. Uno stratagemma, quello di inviare le email malevoli da un dominio Microsoft che, in entrambi i casi, ha fatto apparire come legittime le richieste di login alle ignare vittime delle truffe, aumentandone così le percentuali di successo.
Indice degli argomenti
Il malare nascosto sui server Microsoft Azure
La presenza di software dannoso sui server del servizio Microsoft Azure è stata segnalata inizialmente su Twitter da un ricercatore di sicurezza che si firma col nickname di @JayTHL e dagli analisti di @malwarehunterteam. Fino a ad oggi, il codice malevolo non è stato ancora cancellato.
Il tweet con cui il ricercatore JayTHL ha lanciato l’allarme sulla presenza di codici malevoli nascosti sui server Microsoft Azure.
Questo dimostra che i sistemi di controllo integrati in Microsoft Azure non sono riusciti a rilevare il malware nascosto sui server, anche se Windows Defender è in grado di identificare il codice malevolo qualora l’utente dovesse avviarne il download.
In particolare, l’antivirus integrato nei sistemi operativi Microsoft identifica due differenti campioni di codice malevolo, entrambi riconosciuti come Trojan:Win32/Occamy.C e nascosti il primo nel file eseguibile searchfile.exe e il secondo nel file printer/prenter.exe.
Quest’ultimo è un file eseguibile portatile non compilato: una soluzione adottata dai criminal hacker per evitare che le soluzioni di sicurezza dei gateway e degli endpoint lo rilevino al momento del download.
Entrambi i campioni sono stati indicizzati dall’antivirus online VirusTotal rispettivamente il 26 e il 30 aprile scorsi.
I dettagli del malware
Dall’analisi del campione di malware nascosto sui server Microsoft Azure si scopre che eseguendo il file printer.exe viene richiamata la linea di comando con lo scopo di eseguire il compilatore C# e quindi attivare il payload.
Una volta in esecuzione, l’agente maligno genera richieste XML SOAP ogni 2 minuti per contattare il server di comando e controllo allocato su Microsoft Azure e ricevere nuovi dati e istruzioni mediante il comando systemservicex[.]azurewebsites[.]net/data[.]asmx.
Questo particolare comportamento lascia supporre che il campione di malware individuato sia in realtà un semplice agent capace di ricevere ed eseguire qualsiasi istruzione ricevuta dal server C2 e quindi potenzialmente utilizzabile dai criminal hacker per compiere qualsiasi tipo di attacco informatico.
Secondo i ricercatori, potrebbero essere già 90 i bot nascosti al momento sui server Microsoft Azure.
Malware su Microsoft Azure: come difendersi
Microsoft Azure non è comunque la prima piattaforma di cloud computing ad essere sfruttata dai criminal hacker per archiviare contenuti dannosi o utilizzata come vettore di diffusione delle loro campagne malevoli. In passato anche Google Drive, Dropbox e i servizi web di Amazon sono stati utilizzati allo stesso modo.
Questo conferma una pericolosa nuova tendenza del crimine informatico. Se finora i criminal hacker compromettevano siti web legittimi e li usavano per ospitare contenuti dannosi, ora non esitano a cogliere ogni opportunità di fare affari, soprattutto quando hanno la possibilità di ottenere gli stessi risultati con rischi e sforzi minimi.
Sfruttando il cloud di Microsoft Azure, inoltre, un eventuale attaccante riesce a bypassare non solo i classici sistemi di sicurezza a difesa dei gateway e degli endpoint aziendali, come abbiamo visto, ma anche il cosiddetto “firewall umano” che rappresenta la migliore arma di difesa verso attacchi di tipo phishing.
Se in passato abbiamo sempre consigliato di esaminare attentamente gli URL delle landing page indicate in email malevoli o su siti web alla ricerca di domini sospetti, ora questa regola non è più sempre valida.
Ecco come si presenta una finta falsa pagina di phishing ospitata sui server Microsoft Azure: è praticamente impossibile identificare anche la URL malevola camuffata dietro un dominio Microsoft legittimo.
Ospitando pagine di phishing su Microsoft Azure, infatti, le stesse landing page si trovano su domini apparentemente leciti come windows.net e azurewebsites.net e diventa quindi più complicato per un utente non esperto individuare un eventuale pericolo.
Per gli account Microsoft e i login su Outlook.com, è importante ricordare che i moduli di login provengono solo dai domini microsoft.com, live.com, microsoftonline.com e outlook.com.
Se ci viene presentato un modulo di accesso Microsoft da qualsiasi altro URL, anche se appartenente ad un sottodominio Microsoft, teniamo gli occhi aperti ed evitiamo di cliccarci sopra prima di aver fatto tutte le dovute verifiche e i necessari controlli di sicurezza.
