Aggiornamenti recenti Settembre 28th, 2023 4:08 PM
Mag 03, 2022 Redazione news Attacchi, News, RSS 0
Come sottolinea Yoroi, i documenti Microsoft Office ed Excel sono gli strumenti di diffusione preferiti da molti criminali informatici per inoculare malware nelle aziende.
Si tratta infatti di una tecnica estremamente flessibile e abusata sia da attori opportunisti che dalle APT, le Minacce Avanzate Persistenti che fanno capo a gruppi criminali ben finanziati e organizzati, spesso supportati da governi.
Negli ultimi mesi il Malware ZLAB di Yoroi (gruppo Tinexta) ha monitorato con particolare attenzione ondate di attacchi che adottano una nuova tecnica: librerie binarie caricate direttamente da Microsoft Excel, in un solo click. Per farlo sfruttano i file XLL, un particolare tipo di file contenente un’applicazione Microsoft Excel pronta per essere caricata.
Questo metodo di sfruttamento di Microsoft Office viene usato in tutto il mondo e recentemente è stato sfruttato per colpire le aziende manifatturiere italiane. I criminali informatici stanno utilizzando massicciamente queste particolari applicazioni Excel XLL perché rendono inefficaci i motori di scansione antivirus per i documenti ricevuti nelle caselle di posta aziendali.
I file XLL non sono infatti documenti Office, ma librerie eseguibili che possono essere utilizzate dai cybercriminali per iniettare malware in grado di rubare le credenziali salvate nel browser e per accedere remotamente al computer.
Il CERT di Yoroi sta monitorando la nuova tecnica dall’estate del 2021. Già osservata originariamente in attacchi sporadici, nell’ultimo mese è stata sfruttata anche ai danni di realtà italiane.
La campagna di malspam, cioè un invio massiccio di email per infettare le vittime, che veicola il file dannoso camuffato da documento Excel, utilizza le infrastrutture della piattaforma statunitense per chiamate vocali e messaggistica istantanea Discord.
Il codice malevolo in questo caso è particolarmente pericoloso in quanto è associato a tecniche di evasione che ne rendono difficile l’individuazione anche con VirusTotal, la piattaforma di Google per l’analisi dei file potenzialmente infetti.
In questo momento almeno due campagne d’attacco che lo utilizzano hanno l’Italia come bersaglio. La pericolosa tecnica risulta attualmente utilizzata dalla botnet Dridex nel corso di attacchi su larga scala, indice di una potenziale esplosione di questa tecnica di attacco nel corso dei prossimi mesi del 2022.
Dridex è uno dei malware bancari più pericolosi e resistenti al mondo. Dal 2010 sfrutta le macro di Word e Excel e la sua botnet, cioè la rete di computer zombie che utilizza per diffondere il suo carico malevolo, è tra le più estese tra quelle conosciute.
Gli attacchi provenienti da questa botnet possono portare a una infezione ransomware di tipo double-extortion come è già accaduto in aprile ai danni di molti comuni italiani del Nord-Ovest.
Secondo i coordinatori dello Zlab di Yoroi: “Le aziende oggetto di questa campagna in Italia sono una decina nel settore manifatturiero e l’attenzione va tenuta alta.
La campagna è particolarmente pericolosa perché inganna i sistemi di difesa tradizionali e il suo livello di sofisticazione suggerisce che gli attaccanti, di provenienza russa e asiatica, si stanno organizzando per affinare i loro attacchi via email”. Potete trovare l’analisi completa in inglese a questo collegamento.
Gen 26, 2023 0
Lug 18, 2022 0
Feb 08, 2022 0
Mar 09, 2021 0
Set 28, 2023 0
Set 28, 2023 0
Set 27, 2023 0
Set 27, 2023 0
Set 27, 2023 0
I cybercriminali stanno sviluppando nuovi attacchi,...Set 26, 2023 0
Sembra che la cybersecurity sia diventata centrale per il...Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 28, 2023 0
L’ultimo aggiornamento di Windows 11 include nuove...Set 28, 2023 0
ZeroFont, una tecnica di phishing già ampiamente...Set 27, 2023 0
Google ha individuato una nuova vulnerabilità critica, la...Set 25, 2023 0
Il team di sicurezza di Sonatype ha individuato unaSet 25, 2023 0
SentinelLabs e QGroup GmbH hanno individuato un nuovo...