Royal Baby in prima linea nelle email esca

Numerose sono le campagne malevole per sfruttare la notizia.



[ZEUS News - www.zeusnews.it - 26-07-2013]

Dopo le notizie dei giorni scorsi, il Duca e la Duchessa di Cambridge sono gli orgogliosi genitori di un maschietto, prossimo erede al trono britannico. Mentre si godono la gioia di essere diventati una famiglia, i cyber criminali sono stati prevedibilmente impegnati a realizzare diverse campagne malevole per sfruttare la notizia. Una di queste campagne malevole è iniziata subito dopo l'annuncio ufficiale che la Duchessa di Cambridge si trovava in ospedale.

Zeus News ha parlato con Carl Leonard, senior manager e security research di Websense Security Labs, per approfondire l'argomento.

Zeus News: Carl, è vero che gli autori dei malware che girano in questi giorni hanno aspettato l'annuncio per molti mesi?

Carl Leonard: "Non è una sorpresa rilevare una campagna malevola mentre l'attenzione del pubblico è ai massimi livelli. L'isteria mediatica in seguito alla nascita del Royal Baby ha visto aumentare oltre ogni limite i dati relativi all'audience mondiale di Internet, fornendo una perfetta rappresentazione dello scenario per i cyber criminali che cercano di trarre guadagni dalla curiosità delle persone".

ZN: Qual è il meccanismo?

Carl Leonard: "I malware che usano queste tecniche agiscono attraverso le diverse fasi del ciclo di vita di un attacco. Questo richiede difese aziendali a più livelli, implementate correttamente e integrate in tempo reale attraverso Web, email, social e dispositivi mobili. Se George Alexander Louis è terzo in linea per il trono, senza la giusta protezione, sembra che la vostra azienda possa essere in prima linea per le più recenti minacce malevole".

Sondaggio
Secondo te come stanno cambiando gli attacchi informatici?
Ci sono sempre più attacchi automatizzati verso i server anziché verso gli individui.
Gli attacchi sono più globali, dall'Europa all'America all'Asia all'Australia.
L'impatto maggiore è sui conti aziendali e sui patrimoni medio alti.
Gli attacchi colpiscono istituzioni finanziarie di tutte le dimensioni.
Gli hacker sono sempre più veloci.
I tentativi di transazioni sono più estesi e più elevati.
Gli attacchi sono più difficili da rilevare.
E' aumentata la sopravvivenza dei server.

Mostra i risultati (1528 voti)
Leggi i commenti

Le campagne rilevate finora stanno utilizzando email esca, che reindirizzano le vittime a URL Blackhole Exploit Kit o contengono allegati malevoli sotto forma di file Windows SCR nel tentativo di ingannare gli utenti. Queste tipologie di minacce sono spesso lanciate quando ci sono notizie di attualità o storie a livello mondiale.

Vedremo passo a passo con Carl Leonard entrambe le campagne, mettendole in relazione con le varie fasi delle minacce avanzate e nel dettaglio come si diffondono.

Esche

In questo ultimo esempio di campagna malevola che si basa sulla sete di notizie degli utenti, Websense ThreatSeeker Intelligence Cloud ha rilevato e bloccato più di 60.000 email che avevano come oggetto "The Royal Baby: Live Updates" (incluse le virgolette) che simulavano una notifica ScribbleLIVE/CNN e incoraggiavano le vittime ad "aggiornarsi sulle ultime novità". Cliccando qualsiasi link contenuto in questa email esca, le vittime venivano rimandate allo stesso URL malevolo di reindirizzazione. Questo approccio è simile a quello di una recente campagna che sfruttava eventi locali come email esca. (Campagna email malevola a tema Fox News)

royal baby
Email esca: Link agli URL di reindirizzazione

Una campagna diversa, utilizzando più esche contenenti allegati malevoli, è stata rilevata in volumi inferiori con argomenti pensati per destare l'interesse e incoraggiare le vittime ad aprire il messaggio:

Amazing, incredible share! Follow our leader, share it!
Royal Baby: Diana, Charlotte or Albert
Royal baby in fantastic picture!

Oltre ai diversi contenuti inerenti al Royal Baby, il corpo del messaggio spinge le vittime ad aprire l'immagine allegata, anche se il file stesso è un codice binario malevolo usato per contattare l'infrastruttura command and control (C2) e scaricare altri payload malevoli:

1
Email esca: allegato malevolo

Nel caso riceviate qualsiasi email di notifica di notizie o messaggi non richiesti inerenti a temi di attualità, è importante essere sicuri che i messaggi siano legittimi prima di cliccare qualsiasi link o scaricare un allegato. E' improbabile che le agenzia di stampa invieranno email non richieste e quindi ogni messaggio inatteso dovrebbe essere trattato con la massima attenzione.

Per loro stessa natura, le esche sfruttano la curiosità umana e la nostra sete di conoscenza. Oltre alla necessità di una soluzione di sicurezza integrata che sia in grado di rilevare e proteggere da queste esche, ricevute via social Web o email, gli utenti devono imparare a essere diffidenti nei confronti di link o messaggi non richiesti e di visitare direttamente siti di informazione affidabili per essere aggiornati sulle ultime novità.

Reindirizzazione

Qualora gli utenti cadano nella trappola ScribbleLIVE/CNN, vengono rimandati a siti intermedi che reindirizzano le vittime verso i siti che ospitano i codici di exploit, in questo caso il Blackhole Exploit Kit. I siti di reindirizzazione, come spesso accade, sono Website legittimi che sono stati compromessi o infettati con codici malevoli nascosti od offuscati per sfruttare la reputazione del sito host. Le analisi in tempo reale di questi siti al momento del click garantiscono una protezione immediata e possono interrompere in modo efficace la catena prima che la vittima venga reindirizzata all'exploit.

Exploit Kit

Un altro elemento rilevato in queste ampie campagne, che sfruttano notizie di attualità o di portata mondiale, è l'uso di exploit kit comuni e accessibili, come Blackhole, che permettono ai criminali informatici di sviluppare velocemente l'infrastruttura del proprio attacco e far cadere in trappola il maggior numero possibile di vittime. Una volta che l'URL exploit kit è stato visitato, la macchina della vittima è accessibile per le vulnerabilità che possono essere sfruttate per diffondere payload malevoli. In questo caso, oltre a fornire malware, come Zeus, che è stato progettato per rubare informazioni finanziarie dalle vittime, il sito utilizza metodi di social-engineering per indurre le vittime a installare un falso aggiornamento Adobe Flash Player:

2
Exploit Kit: Social-engineering con un falso aggiornamento Adobe Flash Player

Le analisi in tempo reale di contenuti Web e payload malevoli proteggono gli utenti da minacce conosciute e sconosciute.

Dropper File

Nel caso in cui l'exploit abbia successo, file dropper e/o downloader sono utilizzati per installare payload malevoli aggiuntivi all'interno della macchina della vittima. Nelle campagne descritte finora, una si basa sul fatto che la vittima cadrà nella trappola dell'esca e poi sarà reindirizzata a un sito di exploit da cui questo potrebbe essere consegnato, mentre l'altro attacco allega semplicemente un file malevolo che rimanda all'email esca iniziale. Questi file sono spesso crittografati e compressi per contrastare la rilevazione da parte delle tradizionali soluzioni basate sulla signature e quindi sono necessarie soluzioni più avanzate che riconoscano il comportamento malevolo. Utilizzando l'allegato email come esempio, ThreatScope Analysis Report illustra bene come il file ha inviato richieste a host malevoli, così come ha scritto ulteriori file eseguibili nel file di sistema locale.

Call Home

Una volta che la macchina della vittima ha installato il proprio payload malevolo, cercherà di effettuare “call home” e contattare l'infrastruttura C2 per ricevere i comandi da chi ha creato la campagna. La rilevazione in real-time di comunicazioni outbound malevole, al posto di una minaccia scoperta in una fase iniziale, può prevenire il call home e impedire agli hacker di raggiungere i propri obiettivi.

Data Theft

La fuoriuscita di dati – che potrebbero essere informazioni di identificazione personale (PII) di una persona, dati sensibili di un'azienda o anche la lista dei possibili nomi del Royal Baby – è spesso lo scopo dei criminali. Utilizzando metodi come la fuoriuscita dei dati slowly "drip-feeding da una rete compromessa o creando una routine di crittografia personalizzata per rimanere nascosta, i criminali cercano di rubare i dati che possono poi essere usati per altri attacchi o semplicemente per trarne guadagno. Le funzionalità avanzate di prevenzione contro la perdita e il furto dei dati, come Drip DLP, analisi OCR e la rilevazione di routine di crittografia personalizzate possono essere sviluppate per conservare i dati al proprio posto, lontano dalle mani dei criminali informatici.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 9)

naturale..spammer e ladruncoli seguono molto gossip e marketing :wink:
15-8-2013 15:20

Di nulla, diffondere informazione su questi argomenti è molto importante perchè più persone ne sono a conoscenza e più aumenta la sicurezza di tutti. :wink:
29-7-2013 19:23

Capito, grazie Ciao :ciao:
28-7-2013 10:36

@Giunone L'attacco normalmente ha successo e, quindi, il PC viene infettato solo se clicchi sui link o se apri gli allegati presenti nella mail in questione, la sua semplice lettura non comporta generalmente pericoli. Comunque è buona norma cancellare tutte le mail sospette senza aprirle poichè, anche inavvertitamente potrebbe... Leggi tutto
27-7-2013 19:30

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Recenti scoperte genetiche affermano che l'invecchiamento è controllabile e quindi potremo vivere tutti più a lungo. Cosa ne pensi?
E' una grande scoperta, sono contento di vivere più a lungo.
L'importante è poter vivere bene e in salute.
Trovo che la genetica si stia spingendo oltre i limiti umani.
Significa che dovremo tutti lavorare più a lungo e andare in pensione più tardi.
Questo contribuirà al sovraffollamento del pianeta.

Mostra i risultati (5662 voti)
Ottobre 2020
Windows 10, Microsoft si prepara a rivoluzionare l'interfaccia
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Tutti gli Arretrati


web metrics