I ricercatori diย Barracudaย hanno scoperto unโallarmante ripresa nella diffusione di malware nascosto in documenti; ecco come proteggersi in modo efficace.
Una recente analisi delle e-mail ha rivelato che il 48% di tutti i file malevoli individuati negli ultimi 12 mesi era una qualche forma di documento. Sono stati identificati piรน di 300.000 documenti unici.
Dallโinizio del 2019, purtroppo, la frequenza di questo tipo di attacchi รจ aumentata considerevolmente. Solo nel primo trimestre, il 59% di tutti i file malevoli identificati era rappresentato da documenti, contro il 41% dellโanno precedente.
Esaminiamo dunque questo tipo di attacchi e le soluzioni per identificarli e renderli inoffensivi.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Malware inserito in documenti. I cybercriminali usano lโe-mail per recapitare un documento contenente software malevolo, detto malware. Tipicamente, o il malware รจ nascosto direttamente nel documento stesso, oppure il documento contiene uno script che scarica il malware da un sito esterno. I tipi di malware piรน diffusi sono i virus, i trojan, lo spyware, i worms e il ransomware.
Dopo decenni in cui ci si รจ affidati a metodi basati sulla โfirmaโ, che riuscivano a bloccare gli attacchi malware solo dopo che da questi malware era stata derivata la forma, le aziende specializzate in sicurezza oggi affrontano il problema dellโidentificazione del malware domandandosi โCosa rende qualcosa pericoloso?โ e nonย โCome faccio a individuare qualcosa che so essere pericoloso?โ. Oggi, quindi, si cerca di riconoscere degli indicatori della pericolositร del file prima ancora che venga etichettato come dannoso.
Un modello comune usato per comprendere meglio gli attacchi รจ la Cyber Kill Chain, un modello in sette fasi dei passaggi che ogni cybercriminale intraprende per penetrare un sistema.
Ricognizione: ricerca e selezione dellโobiettivo
Adescamento: messa a punto dellโattacco, spesso usando malware e/o exploit
Dirottamento: lancio dellโattacco
Exploit: uso degli exploit diffusi con lโattacco
Installazione: stabilire persistenza nel sistema target
Comando e controllo: utilizzo della persistenza dallโesterno
Azione sugli obiettivi: raggiungere lโobiettivo alla base dellโattacco, spesso la sottrazione di dati.
La maggior parte del malware viene inviato come spam a imponenti liste di indirizzi e-mail che vengono vendute, scambiate, aggregate e aggiornate man mano che si muovono nel dark web. Un bellโesempio di questo genere di aggregazione si ha nelle liste utilizzate per i sextortion scams, tanto popolari oggi.
Ora che i criminali dispongono delle liste di potenziali vittime, la campagna malware (la fase di dirottamento nella Kill Chain) puรฒ avere inizio usando tecniche di social engineering per convincere le vittime ad aprire un allegato infetto.ย I formati piรน comunemente usati sono quelli di documenti Microsoft e Adobe, ad esempio Word, Excel, PowerPoint, Acrobat.
Quando il documento viene aperto, si hanno due possibilitร : o il malware viene automaticamente installato, oppure una macro o uno script nascosto nel documento viene lanciato per scaricare e installare il malware da una fonte esterna. A volte viene usato un link o un altro oggetto cliccabile, ma questa tecnica รจ piรน diffusa negli attacchi di phishing che negli attacchi malware. Il file eseguibile, scaricato e lanciato quando il documento viene aperto, rappresenta la fase di installazione della Kill Chain.
Intermezzo promozionale ... continua la lettura dopo il box:
Formati dโarchivio e script sono gli altri due piรน comuni metodi di distribuzione del malware mediante allegati. I criminali spesso modificano lโestensione del file nel tentativo di confondere gli utenti e spingerli ad aprire il documento.
I moderni attacchi malware sono complessi e a piรน livelli e, anche le soluzioni pensate per riconoscerli e bloccarli, devono essere tali.
Blacklist: essendo lo spazio IP sempre piรน limitato, gli spammer sempre piรน frequentemente utilizzano infrastrutture proprie. Spesso, gli stessi IP sono usati abbastanza a lungo da permettere ai software di riconoscerli e inserirli nelle black list. Anche se vengono usati siti compromessi e botnet, รจ possibile bloccare temporaneamente gli attacchi in base allโIP una volta che un volume sufficientemente alto di spam รจ stato individuato.
Filtri antispam/sistemi di rilevamento del phishing:ย per quanto molte mail malevole appaiano convincenti, i filtri antispam, i sistemi per il rilevamento del phishing e i relativi software di sicurezza possono cogliere sottili sfumature e contribuire a bloccare i messaggi e gli allegati potenzialmente pericolosi prima ancora che raggiungano la mailbox dellโutente.
Individuazione del malware:ย per le e-mail con documenti pericolosi allegati, รจ possibile effettuare analisi statiche e dinamiche che possono cogliere degli indicatori del tentativo da parte del documento di scaricare e lanciare un eseguibile, cosa che nessun documento dovrebbe mai fare. LโURL del file eseguibile puรฒ spesso essere identificato usando sistemi euristici o di โintelligenceโ. Anche un โmascheramentoโ rilevato dallโanalisi statica puรฒ indicare la possibilitร che il documento sia sospetto.
Firewall avanzati:ย nel caso in cui un utente apra un allegato infetto o clicchi su un link che provoca il download, un firewall di rete avanzato dotato di funzionalitร di analisi del malware offre unโulteriore possibilitร di bloccare lโattacco segnalando lโeseguibile appena questo transita nel firewall.
https://www.techfromthenet.it/201904108325/News-analisi/barracuda-aumentano-i-malware-nascosti-nei-documenti.html
