Dopo le notizie dei giorni scorsi, il Duca e la Duchessa di Cambridge sono gli orgogliosi genitori di un maschietto, prossimo erede al trono britannico. Mentre si godono la gioia di essere diventati una famiglia, i cyber criminali sono stati prevedibilmente impegnati a realizzare diverse campagne malevole per sfruttare la notizia. Una di queste campagne malevole è iniziata subito dopo l'annuncio ufficiale che la Duchessa di Cambridge si trovava in ospedale.

Zeus News ha parlato con Carl Leonard, senior manager e security research di Websense Security Labs, per approfondire l'argomento.

Zeus News: Carl, è vero che gli autori dei malware che girano in questi giorni hanno aspettato l'annuncio per molti mesi?

Carl Leonard: "Non è una sorpresa rilevare una campagna malevola mentre l'attenzione del pubblico è ai massimi livelli. L'isteria mediatica in seguito alla nascita del Royal Baby ha visto aumentare oltre ogni limite i dati relativi all'audience mondiale di Internet, fornendo una perfetta rappresentazione dello scenario per i cyber criminali che cercano di trarre guadagni dalla curiosità delle persone".

ZN: Qual è il meccanismo?

Carl Leonard: "I malware che usano queste tecniche agiscono attraverso le diverse fasi del ciclo di vita di un attacco. Questo richiede difese aziendali a più livelli, implementate correttamente e integrate in tempo reale attraverso Web, email, social e dispositivi mobili. Se George Alexander Louis è terzo in linea per il trono, senza la giusta protezione, sembra che la vostra azienda possa essere in prima linea per le più recenti minacce malevole".

Le campagne rilevate finora stanno utilizzando email esca, che reindirizzano le vittime a URL Blackhole Exploit Kit o contengono allegati malevoli sotto forma di file Windows SCR nel tentativo di ingannare gli utenti. Queste tipologie di minacce sono spesso lanciate quando ci sono notizie di attualità o storie a livello mondiale.

Vedremo passo a passo con Carl Leonard entrambe le campagne, mettendole in relazione con le varie fasi delle minacce avanzate e nel dettaglio come si diffondono.

Esche

In questo ultimo esempio di campagna malevola che si basa sulla sete di notizie degli utenti, Websense ThreatSeeker Intelligence Cloud ha rilevato e bloccato più di 60.000 email che avevano come oggetto "The Royal Baby: Live Updates" (incluse le virgolette) che simulavano una notifica ScribbleLIVE/CNN e incoraggiavano le vittime ad "aggiornarsi sulle ultime novità". Cliccando qualsiasi link contenuto in questa email esca, le vittime venivano rimandate allo stesso URL malevolo di reindirizzazione. Questo approccio è simile a quello di una recente campagna che sfruttava eventi locali come email esca. (Campagna email malevola a tema Fox News)

Email esca: Link agli URL di reindirizzazione

Una campagna diversa, utilizzando più esche contenenti allegati malevoli, è stata rilevata in volumi inferiori con argomenti pensati per destare l'interesse e incoraggiare le vittime ad aprire il messaggio:

Amazing, incredible share! Follow our leader, share it!
Royal Baby: Diana, Charlotte or Albert
Royal baby in fantastic picture!

Oltre ai diversi contenuti inerenti al Royal Baby, il corpo del messaggio spinge le vittime ad aprire l'immagine allegata, anche se il file stesso è un codice binario malevolo usato per contattare l'infrastruttura command and control (C2) e scaricare altri payload malevoli:

Email esca: allegato malevolo

Nel caso riceviate qualsiasi email di notifica di notizie o messaggi non richiesti inerenti a temi di attualità, è importante essere sicuri che i messaggi siano legittimi prima di cliccare qualsiasi link o scaricare un allegato. E' improbabile che le agenzia di stampa invieranno email non richieste e quindi ogni messaggio inatteso dovrebbe essere trattato con la massima attenzione.

Per loro stessa natura, le esche sfruttano la curiosità umana e la nostra sete di conoscenza. Oltre alla necessità di una soluzione di sicurezza integrata che sia in grado di rilevare e proteggere da queste esche, ricevute via social Web o email, gli utenti devono imparare a essere diffidenti nei confronti di link o messaggi non richiesti e di visitare direttamente siti di informazione affidabili per essere aggiornati sulle ultime novità.

Reindirizzazione

Qualora gli utenti cadano nella trappola ScribbleLIVE/CNN, vengono rimandati a siti intermedi che reindirizzano le vittime verso i siti che ospitano i codici di exploit, in questo caso il Blackhole Exploit Kit. I siti di reindirizzazione, come spesso accade, sono Website legittimi che sono stati compromessi o infettati con codici malevoli nascosti od offuscati per sfruttare la reputazione del sito host. Le analisi in tempo reale di questi siti al momento del click garantiscono una protezione immediata e possono interrompere in modo efficace la catena prima che la vittima venga reindirizzata all'exploit.

Exploit Kit

Un altro elemento rilevato in queste ampie campagne, che sfruttano notizie di attualità o di portata mondiale, è l'uso di exploit kit comuni e accessibili, come Blackhole, che permettono ai criminali informatici di sviluppare velocemente l'infrastruttura del proprio attacco e far cadere in trappola il maggior numero possibile di vittime. Una volta che l'URL exploit kit è stato visitato, la macchina della vittima è accessibile per le vulnerabilità che possono essere sfruttate per diffondere payload malevoli. In questo caso, oltre a fornire malware, come Zeus, che è stato progettato per rubare informazioni finanziarie dalle vittime, il sito utilizza metodi di social-engineering per indurre le vittime a installare un falso aggiornamento Adobe Flash Player:

Exploit Kit: Social-engineering con un falso aggiornamento Adobe Flash Player

Le analisi in tempo reale di contenuti Web e payload malevoli proteggono gli utenti da minacce conosciute e sconosciute.

Dropper File

Nel caso in cui l'exploit abbia successo, file dropper e/o downloader sono utilizzati per installare payload malevoli aggiuntivi all'interno della macchina della vittima. Nelle campagne descritte finora, una si basa sul fatto che la vittima cadrà nella trappola dell'esca e poi sarà reindirizzata a un sito di exploit da cui questo potrebbe essere consegnato, mentre l'altro attacco allega semplicemente un file malevolo che rimanda all'email esca iniziale. Questi file sono spesso crittografati e compressi per contrastare la rilevazione da parte delle tradizionali soluzioni basate sulla signature e quindi sono necessarie soluzioni più avanzate che riconoscano il comportamento malevolo. Utilizzando l'allegato email come esempio, ThreatScope Analysis Report illustra bene come il file ha inviato richieste a host malevoli, così come ha scritto ulteriori file eseguibili nel file di sistema locale.

Call Home

Una volta che la macchina della vittima ha installato il proprio payload malevolo, cercherà di effettuare “call home” e contattare l'infrastruttura C2 per ricevere i comandi da chi ha creato la campagna. La rilevazione in real-time di comunicazioni outbound malevole, al posto di una minaccia scoperta in una fase iniziale, può prevenire il call home e impedire agli hacker di raggiungere i propri obiettivi.

Data Theft

La fuoriuscita di dati – che potrebbero essere informazioni di identificazione personale (PII) di una persona, dati sensibili di un'azienda o anche la lista dei possibili nomi del Royal Baby – è spesso lo scopo dei criminali. Utilizzando metodi come la fuoriuscita dei dati slowly "drip-feeding da una rete compromessa o creando una routine di crittografia personalizzata per rimanere nascosta, i criminali cercano di rubare i dati che possono poi essere usati per altri attacchi o semplicemente per trarne guadagno. Le funzionalità avanzate di prevenzione contro la perdita e il furto dei dati, come Drip DLP, analisi OCR e la rilevazione di routine di crittografia personalizzate possono essere sviluppate per conservare i dati al proprio posto, lontano dalle mani dei criminali informatici.