Sono in corso nuove operazioni di attacco di tipo malspam che, abusando di infrastrutture italiane e dei loro profili reputazionali internazionali, riescono a bypassare i controlli antispam e a distribuire malware alle caselle di posta elettronica bersaglio.
Indice degli argomenti
I dettagli delle nuove campagne malspam
Secondo gli analisti del CERT di Yoroi che hanno identificato le operazioni di attacco, le nuove campagne malspam stanno sfruttando alcune vulnerabilità di tipo XSS e Open Redirect presenti sui portali web di famose organizzazioni italiane.
In questo modo, gli attori della minaccia riescono a sfruttare a loro vantaggio l’autorevolezza dei domini per evadere i filtri reputazionali delle applicazioni di sicurezza e-mail tradizionali e consegnare “indisturbati” i messaggi di posta elettronica malevoli.
La vulnerabilità di tipo XSS
In particolare, lo sfruttamento della vulnerabilità Cross-Site Scripting (XSS), nota con l’identificativo CWE-79, consente a un attaccante remoto di iniettare codice malevolo all’interno di pagine web con lo scopo di rubare informazioni riservate o installare malware sui browser degli utenti.
Si tratta di una vulnerabilità tipica dei siti web dinamici che può essere sfruttata, mediante l’utilizzo di script ActiveX, Java, VBscript, Flash e HTML, per raccogliere, manipolare e reindirizzare informazioni riservate di utenti ignari che navigano e utilizzano portali web o i vari servizi disponibili su Internet.
Tipicamente, l’iniezione del codice malevolo può avvenire direttamente nella barra degli indirizzi del browser insieme alla URL digitata dall’ignara vittima: sarà quindi il server web (mal configurato) su cui il sito è ospitato ad eseguire automaticamente i comandi contenuti nello script malevolo.
Ad esempio, con un semplice codice JavaScript è possibile rubare dati sensibili contenuti nei cookie di sessione.
La vulnerabilità di tipo Open Redirect
Al contempo, la vulnerabilità Open Redirect (o redirezione automatica aperta), nota con l’identificativo CWE-601, consente ad un’applicazione web di effettuare azione di reindirizzamento verso altri URL arbitrari scelti dall’attaccante.
È bene ricordare che quasi tutte le applicazioni web integrano funzioni che consentono il reindirizzamento verso altre pagine web o link che vengono filtrati e selezionati grazie ad apposite white list.
Lo sfruttamento di una vulnerabilità Open Redirect su un server web (anche in questo caso mal configurato) potrebbe invece autorizzare una redirezione non validata consentendo all’attore della minaccia di dirottare la vittima su un link arbitrario esponendola a rischio scam o phishing, ad esempio.
In parole semplici, un server web ben configurato effettuerebbe una validazione su un link del tipo:
http://example.com/example.php?url=http://app.example.com
reindirizzando l’utente sull’indirizzo corretto http://app.example.com e impedendo quindi a un attaccante remoto di modificare il parametro url.
Nel caso in cui, invece, non venisse effettuato alcun controllo di validità dell’URL, l’attaccante potrebbe sfruttare la vulnerabilità Open Redirect e modificare la stringa in:
http://example.com/example.php?url=http://malicious.example.com
riuscendo così a reindirizzare la vittima sul link malevolo.
Come mitigare il rischio di un attacco
È evidente, dunque, come lo sfruttamento delle due vulnerabilità XSS e Open Redirect renda particolarmente sofisticata la catena di distribuzione del malware nelle nuove campagne malspam.
Alla luce di questo, è di fondamentale importanza risolvere eventuali vulnerabilità XSS e OpenRedirect presenti sui portali web aziendali esposti al pubblico.
Inoltre, è possibile mitigare il rischio di attacco utilizzando strumenti di protezione delle caselle di posta elettronica aziendale dotati di sistemi di controllo basati su signature comportamentali in grado di rilevare eventuali script dannosi.
Infine, può tornare utile anche l’implementazione di una sandbox che consenta di verificare il corretto reindirizzamento dei browser web in un ambiente protetto e isolato da quello di produzione.
