Il 68% del codice malevolo viene distribuito dal cloud e in questo scenario Google Drive e Microsoft One Drive si contendano il primo posto per la migliore app cloud sfruttata dagli attaccanti per distribuire contenuti malevoli, come phishing e malware.
La crescita chiara e sostenuta del malware distribuito tramite applicazioni cloud si spiega col fatto che gli utenti continuano a lavorare da remoto e fanno affidamento su applicazioni cloud per le loro attività quotidiane, sia a livello professionale che personale (il 97% delle app cloud utilizzate in azienda rientra nello shadow IT – si tratta di app non autorizzate, non supportate e ampiamente non protette dai team IT aziendali).
Quindi, anche i cyber criminali continuano ad adattare (e ad anticipare) le loro tattiche secondo le abitudini degli utenti e di conseguenza i servizi cloud più utilizzati vengono costantemente sfruttati per lanciare campagne sempre più evasive, indipendentemente dallo scopo, che si tratti di crimine o spionaggio informatico.
Di seguito sono riportati tre esempi di campagne che sfruttano i servizi cloud rispettivamente per comando e controllo, distribuzione di malware e phishing.
Indice degli argomenti
Sfruttare Dropbox come un “command and control”
IndigoZebra è un gruppo cinese di hacker menzionato per la prima volta da Kaspersky nel suo rapporto APT Trends Q2 2017, che prendeva di mira – al momento della sua scoperta – le ex repubbliche sovietiche con molteplici malware tra cui Meterpreter, Poison Ivy, xDown e una backdoor sconosciuta in precedenza chiamata “xCaon”.
Anche le “Zebre” sono saltate sul carro del cloud e in una recente campagna hanno colpito il Consiglio di sicurezza nazionale afghano tramite una nuova versione della backdoor xCaon, soprannominata BoxCaon, caratterizzata dallo sfruttamento di un account Dropbox controllato dagli attaccanti per ricevere comandi e sottrarre dati.
Questo non è certo il primo esempio dell’utilizzo di Dropbox come comando e controllo per lo spionaggio informatico: altri esempi recenti riguardano DropBook, una backdoor utilizzata dai Molerats (alias The Gaza Cybergang) in una campagna di spionaggio informatico contro obiettivi in Medio Oriente (interessante il fatto che la stessa campagna abbia utilizzato anche Facebook e Google Docs per lo stesso scopo) e DRBControl, un attore APT scoperto all’inizio del 2020 interessato alle società di gioco d’azzardo nel sud-est asiatico.
Dropbox fornisce un’infrastruttura ideale per ospitare un comando e controllo o una zona di deposito dei dati sottratti: non solo il suo traffico è considerato attendibile (e le tecnologie di sicurezza tradizionali non sono in grado di distinguere un’istanza aziendale da una personale, o da una non autorizzata, sfruttata dagli attaccanti), ma l’applicazione stessa fornisce un set flessibile di API che possono essere facilmente utilizzate dagli attaccanti.
La pericolosa liaison tra Hancitor e Google Docs
Hancitor (AKA CHanitor, Tordal) è un dropper di malware piuttosto popolare basato su macro, distribuito tramite documenti Office malevoli, particolarmente difficile da rilevare non solo perché è distribuito tramite un link a Google Docs, ma anche perché dispone di molteplici meccanismi per riconoscere se può essere eseguito nell’endpoint infetto (ad esempio, verifica se è stato eseguito in precedenza nello stesso ambiente).
Hancitor è stato sino a ora utilizzato per distribuire diversi payload, tra cui FickerStealer o Cobalt Strike.
Dall’inizio del 2021, ci sono state ulteriori campagne (ancora in corso) che distribuiscono malware tramite false e-mail DocuSign per attirare nuove vittime. In un caso recente (e non è l’unico) le vittime ricevono un’e-mail DocuSign falsa che consegna una fattura (ebbene sì, il denaro è sempre un buon motivo per aprire un collegamento malevolo).
I template DocuSign sono un modello piuttosto comune per Hancitor. In particolare, il link all’interno dell’e-mail punta a un documento di Google Docs che richiede all’utente di scaricare un file .DOCX malevolo. Una volta eseguito, il documento malevolo scarica il payload.
Come sottolineato in precedenza, la tecnica che sfrutta un servizio cloud legittimo per il reindirizzamento non è nuova ed è stata utilizzata in recenti campagne con Box, Sharepoint, Google Drive e Dropbox per distribuire malware o servire pagine di phishing.
Phishing su Google Forms
Google Forms è uno degli strumenti preferiti dai criminali informatici per creare e distribuire rapidamente pagine di phishing.
Ci sono stati esempi di pagine di Google Form in grado di imitare accessi a Microsoft Office 365 (una delle applicazioni imitate preferite), istituzioni finanziarie come American Express e in generale qualsiasi altra applicazione.
Nonostante il layout semplice e il chiaro disclaimer, la piattaforma è abbastanza flessibile da consentire agli attaccanti di creare una pagina di accesso (non) realistica con pochi clic.
Inoltre, l’infrastruttura di Google semplifica i compiti operativi (non è necessario registrare un dominio ad esempio) e in più offre anche Gmail, un prezioso compagno per recapitare la pagina di phishing direttamente nella casella di posta della vittima, aggirando i controlli di sicurezza dei tradizionali e-mail security gateway.
Con un insieme così potente di funzionalità sfruttabili dagli attaccanti, non sorprende che nuove pagine di phishing che imitano sempre più applicazioni vengano create su Google Forms su base giornaliera.
Nell’ultima campagna, scoperta da Armorblox, la piattaforma è stata abusata per lanciare un attacco volto a raccogliere le credenziali di LinkedIn. Per rendere la campagna ancora più evasiva, il link alla pagina di phishing è stato inviato tramite un account e-mail compromesso.
Ci vogliono letteralmente due minuti per costruire una pagina come quella usata in questo attacco e ancor meno per eludere i controlli di sicurezza di Google evitando di usare esplicitamente il termine “Password” nei campi del form.
E, ancora una volta, nonostante il layout semplice e il disclaimer esplicito, gli utenti cadono nella trappola: campagne di raccolta simili si verificano e hanno successo su base oraria.
Conclusioni
I web security gateway tradizionali sono stati concepiti per un modello web fatto di contenuti statici che non si adatta più al panorama attuale in cui la maggior parte del traffico è costituito da applicazioni cloud (e crittografate), e gli esempi sopra mostrano quanto facilmente gli attaccanti possano trarre vantaggio da questo trend, creando campagne evasive che sfuggono alle tradizionali difese.
Le organizzazioni devono adottare un nuovo modello di sicurezza, in grado di riconoscere l’istanza cloud, il contesto della sessione e applicare i controlli appropriati.
D’altra parte, devono anche educare gli utenti a prestare attenzione ai rischi di questa nuova normalità: soprattutto nei casi in cui il cloud viene sfruttato per fornire contenuti malevoli, c’è sempre un dettaglio che deve destare sospetto nella pagina di destinazione.
