Nuove Tecniche di Attacco “DeepLink” 

 

Proto: N030718.

Con la presente Yoroi desidera informarLa relativamente al rilevamento di nuove tecniche di attacco utilizzate ai danni di utenze equipaggiate con sistemi operativi Windows 10. Attori nell’ambito cyber-crimine hanno recentemente sfruttato una particolare tipologia di file con estensione “.SettingContent-ms” per bypassare group-policy, antimalware e controlli di sicurezza avanzati.

Questi file sono disegnati per la creazione di particolari “shortcuts” di configurazione all’interno dei moderni sistemi Windows 10, tuttavia ricercatori di sicurezza hanno recentemente dimostrato la possibilità di sfruttare queste funzionalità per scaricare ed eseguire codice arbitrario a seguito dell’apertura da parte dell’utente.

La nuova tecnica è stata utilizzata nell’ambito di campagne di malspam volte alla distribuzione di vari tipi di malware, tra cui Trojan/RAT della famiglia Remcos. Gli attaccanti hanno infatti inserito file con estensione “.SettingContent-ms” in documenti Office allegati ad email fraudolente, bypassando controlli di sicurezza tradizionali, policy di blocco di Microsoft Office ed avanzate tecnologie come Microsoft ASR (Attack Surface Reduction).


Figura 1. Esempio documento malevolo (Source:Malwarebytes)


Al momento Yoroi non ha osservato l’adozione di queste tecniche di attacco nel panorama cyber italiano, ciononostante risulta probabile che le tecniche “DeepLink” vengano sfruttate anche da attori malevoli operanti nell’ambito nazionale.

A tale proposito Yoroi consiglia di valutare possibili mitigazioni basate sull’applicazione di regole ASR, relative ad esempio alla creazione di processi figli da parte di Microsoft Office ed abilitabili con il comando powershell:

Set-MpPreference -AttackSurfaceReductionRules_Ids GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index