Ultimamente vi è un nuovo aumento del volume di attacchi di spam che utilizzano un kit exploit - nello specifico, il BlackHole exploit kit - per innescare un payload maligno. In particolare, nelle ultime catene di spam Automated Clearing House (ACH), e nei più recenti corrieri spam su Facebook relativi alla morte di Steve Jobs. Con questo post, gli esperti di Trend Micro, orientano i lettori sulla catena di infezione di tali attacchi per aiutare a capire perchè le pratiche di mitigazione di base sono ancora efficaci e utili per proteggersi dalle minacce di oggi.
In una campagna di spam tipico che coinvolge il malware, i cybercriminali attirano gli utenti attraverso l'ingegneria sociale facendo eseguire una serie di azioni prima che il carico utile destinato venga eseguito. Ad esempio, un utente deve scaricare, estrarre ed eseguire un presunto file "benigno" per un attacco di spam perchè possa avere successo. Campagne di spam utilizzando kit exploit, tuttavia, sono un pò più pericolosi in quanto hanno solo bisogno di attirare l'utente a cliccare su un link maligno ed il resto del contagio sarà in grado di prendere posto.
Di seguito è riportato un esempio di questo tipo di spam che pretendono di essere provenienti dal National Automated Clearing House Association (NACHA). Il NACHA gestisce la rete ACH, che facilita le transazioni di pagamento di massa che coinvolge imprese, governi, come pure i consumatori. Gli utenti che hanno maggiori probabilità di ricevere email da NACHA sono quelli che effettuano transazioni relative a libro paga, i benefici del governo, restituzioni d'imposta, ed altri.
Il resoconto delle transazioni nel falso messaggio spam conduce ad una pagina vuota |
Nella schermata dello spam di cui sopra, si può vedere che il link punta a un dominio dall'aspetto dubbio che non è legato al National Automated Clearing House Association (NACHA). Una pagina vuota viene visualizzata quando gli utenti fanno clic sul collegamento. Questa pagina vuota è in realtà una pagina gateway che contiene i seguenti JavaScript offuscati:
La pagina gateway dello script offuscato |
Quando decifrati, è possibile vedere che si tratta di uno script che tenta di inserire un iframe che punta ad un altro sito maligno, che utilizza il kit di BlackHole Exploit:
La pagina del gateway decifrata |
Una volta che l'iframe viene caricato, il contenuto viene caricato anche dal Kit BlackHole Exploit sul sito che, ancora una volta, contiene uno script molto offuscato. Al momento della decodifica del codice, è possibile vedere il codice vero e proprio che cerca software vulnerabili e utilizza le azioni appropriate. Il kit Exploit BlackHole sfrutta le vulnerabilità sia in applicazioni di terze parti come Adobe Acrobat, Adobe Flash e Java, così come nei componenti di Windows come Microsoft Data Access Components (MDAC) e la Guida in linea e supporto tecnico (HCP).
Il sito del Blackhole Exploit Kit mostra questo script molto offuscato |
Lo sfruttamento esegue uno shellcode, che innesca il download e l'esecuzione di malware. Abbiamo osservato che questi attacchi sono stati utilizzati per diffondere varianti ZeuS, anche se queste possono essere utilizzati anche per diffondere altre famiglie di malware.
Mitigazione multistrato
Come promemoria per gli utenti, ecco alcuni modi per prevenire che questo tipo di minaccia si ottenga nei loro sistemi:
- Essere a conoscenza di attacchi di ingegneria sociale. La maggior parte degli attacchi online oggi utilizzano il social engineering prima che possano esporre tecnicamente l'infezione. Diffidando da ciò che si fa on-line, le infezioni possono già essere mitigate al momento della comparsa. Semplice buon senso, come non sono divertenti le email indesiderate che potrebbero fare molto in termini della vostra sicurezza personale online.
- Controllare sempre i link malevoli. Controllare sempre dove puntano gli URL dei collegamenti ipertestuali. E 'anche una buona pratica copiare e incollare un URL nella barra degli indirizzi del browser piuttosto che cliccare il link direttamente.
- Disabilitare JavaScript nel vostro browser. Come accennato in precedenza, la pagina gateway e la pagina BlackHole Exploit Kit hanno utilizzato JavaScript. Questo è anche il caso di un sacco di minacce di oggi che usano il browser per eseguire un payload maligno. Come tale, è una buona idea disabilitare JavaScript nel vostro browser e permettendo l'accesso solo ai siti di fiducia, se necessario.
- Ricordarsi sempre di patchare. Il BlackHole Exploit Kit utilizza exploit che colpiscono le vecchie versioni non aggiornate di software. La persistenza di tali strumenti significa che sfruttano gli obsoleti e sono ancora in grado di infettare molti utenti. Non importa quanto scomoda possa essere, la patching del software regolare è ancora un processo di attenuazione importante.
"Lo stato del panorama delle minacce e la dipendenza schiacciante del pubblico su Internet richiede che gli utenti dovrebbero avere la consapevolezza del tipo di minacce trovate sul web, come pure i mezzi per proteggere se stessi da esse. Avendo conoscenza di come questi attacchi lavorano, gli utenti possono ottenere un vantaggio sugli aggressori, ed essere in grado di fermare una minaccia ancor prima che entri nel loro sistema. Un pò di auto-educazione in ultima analisi può rendere tutto Internet un luogo migliore e più sicuro", commenta Roland Dela Paz, Threat Response Engineer di Trend Micro.
Ulteriori informazioni su come i criminali informatici hanno utilizzato lo spam nei loro schemi maligni possono essere trovati sul rapporto di sicurezza in PDF recentemente rilasciato da Trend Micro, Spam nel mondo aziendale di oggi. Fonte: Trend Micro Malware Blog
tiffany and co outlet online
RispondiEliminakobe shoes
louboutin shoes
adidas tubular
michael kors handbags
michael kors handbags
adidas nmd
yeezy shoes
michael kors handbags clearamce
tiffany and co
ralph lauren online,cheap ralph lauren
michael kors handbags sale
nike zoom kobe
http://www.raybanglasses.in.net
air jordans,cheap air jordans,air jordan shoes,air jordan 11,air jordan 13,air jordan 6,air jordan 4
links of london sale
http://www.oakley-sunglass.in.net
nfl jerseys
nike zoom
http://www.oakleystoreonline.us.org
kobe byrant shoes
http://www.cheapairjordan.us
michael kors outlet
nike dunks
kobe sneakers
louis vuitton handbags
yeezy boost 350
fitflops sale
adidas stan smith men
cheap air jordan
adidas nmd for sale