I ricercatori di Symantec hanno individuato un nuovo attacco mirato che per la prima volta fa riferimento alla crisi in Libia. La stessa e-mail è molto semplice ed è progettata per apparire come parte di una discussione circa gli interessi economici nella crisi attuale della Libia, con il mittente che afferma di concordare con dei punti sollevati nel documento allegato, come si vede nell'esempio qui di seguito.
I ricercatori di sicurezza di Symantec avvertono di attacchi molto mirati che sfruttano la crisi in Libia e consegnano un exploit via e-mail per infettare i computer chiave. Le e-mail pongono delle risposte ai messaggi precedenti circa l'attuale situazione nel paese arabo e gli oggetti sono del tipo "Re: DISCUSSIONE - la battaglia finale in Libia".
Il loro corpo contiene un messaggio di lettura molto breve: "Sono d'accordo con questo punto", tuttavia, un errore di formattazione dei risultati in un tag html spezzato, compare alla fine. Il breve messaggio ha lo scopo di distogliere l'attenzione dei destinatari 'verso il documento allegato denominato "EconomicStakes Crisis.doc in Libia".
Se aperto, il documento cerca di sfruttare una vulnerabilità RTF Office di buffer overflow dello stack, identificata come CVE-2010-3333 e patchato da Microsoft in novembre. Lo sfruttamento del successo permette al malintenzionato di eseguire codice arbitrario sul sistema. In questo caso un pezzo di malware viene installato. Il primo esempio di questo attacco mirato è stato intercettato da Symantec.cloud il 24 febbraio 2011 alle 12:52 GMT.
Secondo Symantec, gli attacchi intercettati dalla società provengono da quattro domini separati ed erano mirati ad un numero di 27 individui nel termine di sei diverse organizzazioni coinvolte nell'attivismo dei diritti umani, aiuti umanitari o l'analisi degli affari esteri e sviluppo economico. "Nella maggior parte dei casi, le intestazioni delle e-mail sono stati oggetto di spoofing per far apparire che provengono dallo stesso dominio del nome del destinatario, una tecnica di ingegneria sociale familiare utilizzata nei cosiddetti attacchi 'spear phishing'.
Lo spear phishing impiega una strategia di phishing molto più mirata. Gli autori di questo tipo di frode inviano messaggi di posta elettronica che sembrano attendibili a tutti gli impiegati o i membri di una determinata società, ente statale, organizzazione o gruppo. La struttura del messaggio lascia intendere che il mittente è il datore di lavoro o un altro dipendente o collega (ad esempio, il responsabile delle risorse umane o la persona che gestisce i sistemi informatici) e può includere richieste di nomi utente e password.
In realtà le informazioni sul mittente vengono falsificate o ricavate tramite "spoofing". Mentre il phishing tradizionale si propone lo scopo di sottrarre informazioni da singoli utenti, le frodi che si basano sullo spear phishing hanno come obiettivo quello di penetrare all'interno dell'intero sistema informatico di una società.
Se fornite il nome utente o la password oppure selezionate dei collegamenti o aprite gli allegati in un messaggio di posta elettronica, in una finestra a comparsa o in un sito Web di spear phishing, diventate vittima di un furto d'identità ed esponete a rischi gli altri dipendenti o membri del vostro gruppo di lavoro. Le frodi tramite lo spear phishing sono rivolte anche agli utenti che utilizzano un determinato prodotto o sito Web.
Gli autori di tali frodi utilizzano qualsiasi informazione a disposizione per personalizzare un messaggio di phishing, in modo da restringere il più possibile il gruppo di utenti a cui è rivolto. Questo approccio cerca di ingannare il destinatario a credere che l'email sia stata inviata da qualcuno all'interno", Jo Hurcombe di Symantec ha spiegato. Le email sono state inviate da un indirizzo IP in Romania, però, il corpo di codifica è impostato sul cinese tradizionale.
Nessun commento:
Posta un commento