Una massiccia campagna di malspam indirizzata verso organizzazioni italiane, tedesche e americane sta distribuendo un file Word malevolo utilizzato dai criminal hacker per installare una pericolosa backdoor nei sistemi Windows ai quali sono indirizzati le e-mail infette.
A rischio sarebbero soprattutto le aziende dei settori sanitario, manufatturiero e quelle che offrono servizi IT.
Secondo i ricercatori Proofpoint che per primi hanno isolato alcuni campioni del malware, dietro questa nuova campagna di attacco ci sarebbe il gruppo di hacking TA2101 da poco comparso sulla scena del cyber crime ma già salito agli onori della cronaca per le sue attività criminali: in particolare, i threat actors stanno contribuendo a diffondere nel nostro Paese il pericoloso ransomware Maze con l’intento di colpire le infrastrutture critiche delle organizzazioni italiane.
Indice degli argomenti
I dettagli della backdoor per Windows
I campioni di malspam analizzati dai ricercatori di sicurezza hanno evidenziato che le e-mail infette contengono un file Word compromesso in allegato.
Il corpo del messaggio, invece, utilizza sofisticate tecniche di ingegneria sociale per indurre le potenziali vittime ad aprire l’allegato: così facendo, però, viene eseguita una macro malevola e viene immediatamente attivato uno script PowerShell completamente offuscato il cui scopo è quello di scaricare e installare il ransomware Maze dal server di comando e controllo gestito dai criminal hacker.
Così come già successo in passato con altri gruppi di hacking tra cui i famigerati Cobalt, APT32 e APT19, anche in questa nuova campagna di attacco i criminal hacker utilizzano per compiere le loro azioni dannose il tool Cobalt Strike, uno strumento software con licenza commerciale che viene generalmente utilizzato per effettuare penetration test e che emula il tipo di backdoor framework utilizzato da Metasploit, altro strumento similare di penetration testing.
In particolare, Cobalt Strike è un software che consente di simulare attacchi informatici mirati ed emulare le azioni post-exploiting utilizzate dagli attori delle minacce. Si tratta, dunque, di uno strumento destinato all’uso da parte delle organizzazioni per proteggere le loro infrastrutture e i loro ambienti virtuali. Caratteristiche, queste, che i criminal hacker sfruttano a loro vantaggio utilizzando il software come un vero e proprio malware.
I consigli per difendersi
Come abbiamo visto, il principale vettore di diffusione dei file Word infetti contenenti la macro che esegue lo script PowerShell necessario a scaricare il payload del ransomware Maze sul computer della vittima è, ancora una volta, la posta elettronica.
Il malspam, quindi, continua ad essere lo strumento preferito dai criminal hacker perché così facendo riescono ad ottenere una notevole diffusione del loro codice malevolo con un investimento in risorse davvero minimo.
Per difendersi dal malspam e quindi dalla nuova backdoor per Windows valgono le seguenti semplici regole di sicurezza informatica:
- non scaricare o visualizzare mai gli allegati di e-mail inviate da mittenti sconosciuti;
- trattare sempre gli allegati inviati da mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire o aprire mai file allegati alle e-mail, a meno di non essere assolutamente certi della provenienza;
- nel caso della nuova minaccia analizzata in questo articolo, se si dovesse aprire il documento Word in allegato non bisogna mai abilitare le macro contenuta al suo interno, anche se viene consigliato di farlo (la regola, del tutto generale, vale con tutte le applicazioni della suite Office di Microsoft);
- in caso di dubbio, è sempre utile contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali;
- utilizzare, quando possibile, account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.
Poiché questa nuova campagna di malspam viene utilizzata anche per diffondere il ransomware Maze, è utile adottare queste altre semplici accortezze per evitare di ritrovarsi criptati tutti i file e le cartelle archiviate nell’hard disk del nostro computer, anche perché al momento non è stato ancora rilasciato un tool per riuscire a decifrare i file bloccati senza pagare il riscatto:
- innanzitutto, aggiorniamo sia l’antivirus sia il sistema operativo, oltre ovviamente alla versione di Flash Player installata sul computer (ricordiamo che Maze viene veicolato tramite l’ausilio dell’exploit SpelevoEK che sfrutta la vulnerabilità CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108.
- è di fondamentale importanza, poi, eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco. Chiaramente, tale backup deve essere archiviato su una macchina differente e non collegata alla stessa LAN.
Se si viene attaccati, invece, le buone pratiche di sicurezza informatica dicono che non bisogna mai pagare il riscatto, ma rivolgersi a un’azienda che si occupa di sicurezza informatica.
Infine, il consiglio per tutte le aziende per difendersi da questa nuova backdoor per Windows è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
