Campagne Malspam Ransomware “Word Online”

 

Proto: N040417.

Con la presente Yoroi desidera informarLa che sono state recentemente rilevate campagne di phishing atte alla propagazione di malware di tipologia Ransomware CryptoMix Revenge tentando di ingannare le vittime con l’apertura di documenti su sedicenti servizi Microsoft Office in Cloud.  

Le campagne di phishing/malspam in oggetto tentano di emulare comunicazioni da parte di noti corrieri di spedizione, tecnica di ingegneria sociale ormai consolidata in varie campagne di attacco, tuttavia le mail non presentano allegati malevoli ma bensi link a risorse esterne.



m.png
Fig.1 Esempio email di phishing (Courtesy of SANS ISC InfoSec)



Qualora l’utente dovesse aprire il link suggerito si troverebbe di fronte ad un’interfaccia simile alle applicazioni Office 365 fruibili dal Cloud di Microsoft e alla successiva richiesta di installazione di componenti aggiuntivi per la corretta visualizzazione del documento.


Screenshot from 2017-04-12 14:52:40.png
Fig.2 Pagina di Phishing


Lo scaricamento del malware sulla macchina della vittima avviene in seguito attraverso richieste HTTPS cifrate verso la piattaforma di gestione/condivisione documenti “Google Docs”, comunemente ritenuta affidabile.


Screenshot from 2017-04-12 17:55:40.png
Fig. 3 – URL di distribuzione malware su piattaforma Google Docs


Lo sfruttamento di piattaforme ad alta reputazione per la distribuzione di malware è in grado di porre gravi rischi per la sicurezza delle potenziali vittime delle campagne di attacco per due principali aspetti:

  • L’uso di canali di distribuzione cifrati, rendendo così opaco lo scaricamento e più difficoltosa l’identificazione della minaccia in assenza di infrastrutture atte ad effettuare ispezione del traffico HTTPS.
  • Lo sfruttamento della reputazione di organizzazioni, tipicamente considerate affidabili, per la distribuzione di malware può far si che l’attaccante riesca a bypassare vari livelli di sicurezza perimetrale (e.g. Filtri di Navigazione e Antimalware in opera su Proxy di Navigazione).


Eventuali campagne di attacco di questa tipologia possono quindi sfruttare eventuali punti ciechi all’interno delle infrastrutture di sicurezza perimetrale al fine di propagare minacce come la nuova variante ransomware CryptoMix Revenge, rilevata all’interno delle recenti ondate di malspam descritte.



Screenshot from 2017-04-12 16:05:16.pngScreenshot from 2017-04-12 18:18:05.png
Fig. 4 – Esito analisi campione CryptoMix Revenge (estensione .MOLE)



A questo proposito Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index