Kaspersky Lab: nuova campagna phishing su scala industriale
I ricercatori di Kaspersky Lab hanno scoperto una nuova campagna di phishing che ha lo scopo di prelevare denaro dai conti aziendali. Questa volta i cybercriminali hanno colpito soprattutto le aziende manifatturiere e se di solito gli attacchi a queste aziende mirano soprattutto al cyberspionaggio o al sabotaggio, in questo caso sembra che i cybercriminali si siano ricordati che in queste aziende circolano molti soldi.
Questi attacchi non sono stati perpetrati impiegando tool di nuova generazione, bensì grazie a tecniche standard di phishing. Il software dannoso viene distribuito via messaggi di posta elettronica che sembrano offerte commerciali o che includono documenti finanziari. La caratteristica che emerge in questi attacchi è la minuziosità con cui sono stati preparati gli attacchi; questi veri artisti dello scam si dirigono ai dipendenti per nome e cognome, conoscono la posizione occupata in azienda dalla vittima e il settore d’interesse dell’azienda. Per questo le informazioni e le offerte presenti nel messaggio di posta sembrano più che plausibili.
In alcuni casi, gli hacker inviano allegati dannosi, in altri inviano link ai siti; in tutte le mail, però, si invita la vittima a scaricare tool che gli hacker usano per i propri scopi. Ad esempio, in un caso la vittima veniva informata che l’azienda per cui lavora era stata selezionata per partecipare a un appalto. Per accedere, il dipendente doveva installare l’applicazione legittima Seldon 1.7; l’allegato dell’e-mail conteneva un file eseguibile del software, che a sua volta installava il malware.
In un altro tipo di e-mail il file PDF dannoso si trovava all’interno di una fattura per il pagamento di un’automobile. Il messaggio conteneva molti dettagli, faceva riferimento ad aziende esistenti con partita IVA reale e a codici di identificazione del veicolo che corrispondevano a modelli specifici.
Per portare a buon fine gli attacchi, i cybercriminali hanno impiegato applicazioni legittime di amministrazione in remoto, come TeamViewer o Remote Manipulator System (RMS). Questi programmi servono per avere accesso al dispositivo, andare alla ricerca di informazioni sugli acquisti e sui software finanziari e di contabilità in uso. I cybercriminali impiegano diverse tecniche per appropriarsi del denaro dell’azienda, come la sostituzione dei dati bancari.
Quando necessario, venivano caricati tool aggiuntivi nei dispositivi compromessi, ad esempio per ottenere autorizzazioni di accesso superiori e raccogliere informazioni più dettagliate. Queste applicazioni possono rubare dati (da username e password a file immagazzinati su un dispositivo), scattare screenshot, registrare video dallo schermo, ascoltare cosa succede in ufficio mediante il microfono del dispositivo, ottenere i dati di accesso da altri dispositivi presenti sulla rete locale etc.
In teoria, quindi, i cybercriminali potrebbero andare ben oltre il furto dei fondi aziendali e potrebbero ottenere informazioni confidenziali dell’azienda, sui clienti e sui partner. Oppure spiare lo staff, registrare audio e video di tutto ciò che accadeva all’interno del computer infetto e, perché no, coinvolgere il sistema compromesso in un attacco DDoS.
Chi è a rischio?
Fino a ora, i cybercriminali hanno provato a infettare circa 800 computer appartenenti a almeno 400 aziende di diversi settori: manifatturiero, petrolifero, gas, metallurgico, ingegneria, energia, costruzione, minerario e logistica. Tale campagna di phishing è attiva da ottobre 2017.
Come non cadere nella trappola?
Anche quest’attacco di phishing è la prova che i tool legittimi possono essere usati come arma. Le soluzioni di sicurezza non sempre prendono questa variabile in considerazione e anche i dipendenti più esperti di un’azienda possono cadere nella trappola di un attacco phishing ben pensato che si serve di software legittimi, come nel caso appena descritto. Per proteggere la vostra azienda, il vostro staff deve essere sempre al corrente su tematiche di sicurezza informatica e si devono utilizzare sempre tecnologie di protezione moderne in grado di valutare il comportamento non solo dei programmi sospetti ma anche di quelli legittimi.