Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Mag 03, 2022 Redazione news Attacchi, News, RSS 0
Come sottolinea Yoroi, i documenti Microsoft Office ed Excel sono gli strumenti di diffusione preferiti da molti criminali informatici per inoculare malware nelle aziende.
Si tratta infatti di una tecnica estremamente flessibile e abusata sia da attori opportunisti che dalle APT, le Minacce Avanzate Persistenti che fanno capo a gruppi criminali ben finanziati e organizzati, spesso supportati da governi.
Negli ultimi mesi il Malware ZLAB di Yoroi (gruppo Tinexta) ha monitorato con particolare attenzione ondate di attacchi che adottano una nuova tecnica: librerie binarie caricate direttamente da Microsoft Excel, in un solo click. Per farlo sfruttano i file XLL, un particolare tipo di file contenente un’applicazione Microsoft Excel pronta per essere caricata.
Questo metodo di sfruttamento di Microsoft Office viene usato in tutto il mondo e recentemente è stato sfruttato per colpire le aziende manifatturiere italiane. I criminali informatici stanno utilizzando massicciamente queste particolari applicazioni Excel XLL perché rendono inefficaci i motori di scansione antivirus per i documenti ricevuti nelle caselle di posta aziendali.
I file XLL non sono infatti documenti Office, ma librerie eseguibili che possono essere utilizzate dai cybercriminali per iniettare malware in grado di rubare le credenziali salvate nel browser e per accedere remotamente al computer.
Il CERT di Yoroi sta monitorando la nuova tecnica dall’estate del 2021. Già osservata originariamente in attacchi sporadici, nell’ultimo mese è stata sfruttata anche ai danni di realtà italiane.
La campagna di malspam, cioè un invio massiccio di email per infettare le vittime, che veicola il file dannoso camuffato da documento Excel, utilizza le infrastrutture della piattaforma statunitense per chiamate vocali e messaggistica istantanea Discord.
Il codice malevolo in questo caso è particolarmente pericoloso in quanto è associato a tecniche di evasione che ne rendono difficile l’individuazione anche con VirusTotal, la piattaforma di Google per l’analisi dei file potenzialmente infetti.
In questo momento almeno due campagne d’attacco che lo utilizzano hanno l’Italia come bersaglio. La pericolosa tecnica risulta attualmente utilizzata dalla botnet Dridex nel corso di attacchi su larga scala, indice di una potenziale esplosione di questa tecnica di attacco nel corso dei prossimi mesi del 2022.
Dridex è uno dei malware bancari più pericolosi e resistenti al mondo. Dal 2010 sfrutta le macro di Word e Excel e la sua botnet, cioè la rete di computer zombie che utilizza per diffondere il suo carico malevolo, è tra le più estese tra quelle conosciute.
Gli attacchi provenienti da questa botnet possono portare a una infezione ransomware di tipo double-extortion come è già accaduto in aprile ai danni di molti comuni italiani del Nord-Ovest.
Secondo i coordinatori dello Zlab di Yoroi: “Le aziende oggetto di questa campagna in Italia sono una decina nel settore manifatturiero e l’attenzione va tenuta alta.
La campagna è particolarmente pericolosa perché inganna i sistemi di difesa tradizionali e il suo livello di sofisticazione suggerisce che gli attaccanti, di provenienza russa e asiatica, si stanno organizzando per affinare i loro attacchi via email”. Potete trovare l’analisi completa in inglese a questo collegamento.
Dic 20, 2023 0
Gen 26, 2023 0
Lug 18, 2022 0
Feb 08, 2022 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...