Le tecniche dei cybercriminali per eludere le difese sono sempre più sofisticate
Dal nuovo report trimestrale HP Wolf Security Threat Insights è emerso che i cybercriminali continuano a trovare modi innovativi per ingannare le persone e infettare gli endpoint. Il team di ricerca di HP Wolf Security ha scoperto diverse campagne cyber degne di nota, tra cui:
- La campagna DarkGate utilizza strumenti pubblicitari per affinare gli attacchi: Allegati PDF dannosi, che si presentano come messaggi di errore di OneDrive, indirizzano gli utenti a contenuti sponsorizzati ospitati su una rete pubblicitaria popolare. Questo porta al malware DarkGate. Utilizzando i servizi pubblicitari, i cybercriminali possono analizzare quali esche generano clic e infettano il maggior numero di utenti, aiutandoli a perfezionare le campagne per ottenere il massimo impatto. Gli attori delle minacce possono inoltre utilizzare gli strumenti CAPTCHA per impedire alle sandbox di analizzare il malware e bloccare gli attacchi, garantendo che solo gli esseri umani facciano clic. DarkGate consente ai criminali informatici di accedere alle reti come backdoor, esponendo le vittime a rischi come il furto di dati e il ransomware.
- Passaggio dalle macro agli exploit di Office: Nel quarto trimestre del 2023, almeno l’84% dei tentativi di intrusione che hanno riguardato fogli di calcolo e il 73% documenti Word hanno cercato di sfruttare le vulnerabilità delle applicazioni Office, continuando la tendenza ad abbandonare gli attacchi a Office basati su macro. Tuttavia, gli attacchi basati su macro hanno ancora il loro posto, in particolare per gli attacchi che sfruttano malware a basso costo come Agent Tesla e XWorm.
- Il malware PDF è in aumento: l’11% del malware analizzato nel quarto trimestre ha utilizzato i PDF per diffondere il malware, rispetto ad appena il 4% nel primo e secondo trimestre del 2023. Un esempio significativo è stato quello di una campagna WikiLoader che ha utilizzato un falso PDF per la consegna di un pacco per indurre gli utenti a installare il malware Ursnif
- Discord e TextBin vengono utilizzati per ospitare file dannosi: I cybercriminali utilizzano siti web legittimi di condivisione di file e testi per ospitare file dannosi. Questi siti sono spesso ritenuti affidabili dalle organizzazioni, il che consente loro di evitare gli scanner anti-malware, aumentando le possibilità degli aggressori di non essere individuati
“I criminali informatici stanno diventando sempre più abili a entrare nella nostra testa e a capire come lavoriamo. E con la GenAI che genera contenuti dannosi ancora più convincenti a costo zero, distinguere il vero dal falso diventerà sempre più difficile” ha dichiarato Alex Holland, Senior Malware Analyst del team di ricerca sulle minacce di HP Wolf Security.
Altri risultati del report:
- Gli archivi sono stati il tipo di distribuzione del malware più diffuso per il settimo trimestre consecutivo: sono stati utilizzati nel 30% del malware analizzato da HP
- Almeno il 14% delle minacce via e-mail identificate da HP Sure Click ha aggirato uno o più scanner per gateway e-mail
- I principali vettori di minacce nel quarto trimestre sono stati le e-mail (75%), i download dai browser (13%) e altri mezzi come le unità USB (12%)
“Per ottimizzare le loro campagne di malware aumentando la probabilità che l’utente abbocchi alla loro esca, i criminali informatici stanno applicando gli stessi strumenti che un’azienda potrebbe utilizzare per gestire una campagna di marketing. Per proteggersi dalle minacce, le organizzazioni devono seguire i principi Zero Trust, isolando e contenendo le attività rischiose come l’apertura di allegati di posta elettronica, i clic sui link e i download dal browser” ha dichiarato Ian Pratt, Global Head of Security for Personal Systems di HP Inc.