Truffa su chiamata: cosa c'era dietro una presunta consegna di pacchi
Il fornitore di servizi di sicurezza informatica Sophos ha rivelato una tattica di attacco combinato come parte della sua indagine su un computer infetto, descrivendo un brutto trucco di social engineering in Svizzera che ha combinato esche telefoniche ed e-mail in una complessa catena di attacchi a un obiettivo di lingua tedesca. E a quanto pare la tattica sta già prendendo piede altrove.
Un'azienda svizzera è stata recentemente colpita da un attacco informatico. Gli specialisti hanno analizzato il computer infetto. Le informazioni analizzate mostrano una nuova e complessa tattica di attacco che combina comunicazioni telefoniche ed e-mail credibili per prendere il controllo delle reti aziendali e sottrarre dati. Il malware stesso è stato consegnato in un modo estremamente insolito: un chiamante ha convinto l'obiettivo dell'attacco ad aprire un messaggio di posta elettronica che non conteneva testo, ma era stato progettato come una grafica per assomigliare a un messaggio di posta elettronica di Outlook. Ciò ha innescato il download di un'applicazione Electron dannosa collegata.
"Vorrei portare una consegna alla vostra sede".
Il chiamante ha detto al dipendente di essere un autista di consegne con un pacco urgente per una delle sedi dell'azienda, ma che non c'era nessuno a riceverlo. Ha chiesto un nuovo indirizzo di consegna presso la sede del dipendente. Per poter consegnare nuovamente il pacco, il dipendente avrebbe dovuto leggergli un codice che la società di spedizioni avrebbe inviato via e-mail. Mentre il chiamante stava ancora parlando al telefono con il dipendente, ha ricevuto il messaggio e-mail annunciato. Il messaggio di posta elettronica diceva che un file PDF allegato al messaggio conteneva il codice richiesto.
Questa e-mail, scritta in perfetto francese, ha innescato la successiva catena di attacchi. In realtà, l'intero messaggio era un falso che sembrava solo un'e-mail con un allegato PDF. Sia l'"allegato" che il messaggio di testo erano in realtà solo immagini statiche incorporate nel testo del messaggio. Sotto la guida del truffatore al telefono, il dipendente ha cliccato sull'immagine, che ha portato al download del malware.
Sapevi che: l'uomo(n) parla tedesco
Sebbene il messaggio di posta elettronica fosse scritto in francese, come detto, le prove tecniche suggeriscono che gli aggressori sapevano già che l'obiettivo svizzero poteva essere di lingua tedesca. Gli analisti di Sophos sono riusciti anche a capire che gli aggressori potrebbero aver preso di mira personalmente il destinatario della chiamata e creato un'elaborata catena di attacchi di social engineering. Questo ha portato i criminali informatici a prendere brevemente il controllo del computer del dipendente prima che questi staccasse letteralmente la spina (Ethernet) dal computer compromesso. L'uomo attento ha percepito che qualcosa non andava e ha scollegato il computer infetto dalla rete. Purtroppo, però, non in tempo prima che il payload dannoso fosse attivo.
"Questo attacco è stato estremamente mirato. Quel venerdì c'era una sola persona in ufficio e gli aggressori probabilmente ne conoscevano l'identità. Anche l'uso di un'immagine mascherata da e-mail è qualcosa che non abbiamo mai visto prima. Tuttavia, è intelligente. Allegare un PDF vero e proprio fa spesso scattare l'allarme nei sistemi, perché spesso viene utilizzato per diffondere malware, e le e-mail contenenti PDF finiscono spesso nei filtri antispam", ha dichiarato Andrew Brandt, ricercatore principale di Sophos.
Dopo essersi infiltrati nella rete, i criminali hanno utilizzato un malware per cercare una serie di informazioni, tra cui i dati del software di contabilità, i cookie, la cronologia di navigazione, nonché le password e i portafogli di criptovalute. Per nascondere l'esfiltrazione dei dati, gli aggressori hanno collegato il sistema a Tor (il dark web). Il dipendente che alla fine ha fiutato il problema e ha staccato la spina ha evitato conseguenze peggiori per la sua azienda.
Abilmente "truffato" e già continua
"Questo tipo di attacco altamente sofisticato dimostra fino a che punto i criminali informatici sono disposti a spingersi per aggirare gli strumenti di difesa e conquistare la fiducia delle persone. Gli attacchi di phishing sono estremamente efficaci e abbiamo visto gli aggressori evolvere le loro tattiche di social engineering con le nuove tecnologie. Anche se oggi è più probabile che gli aggressori usino l'e-mail, questo non significa che le telefonate siano superate. Formiamo molto i dipendenti sulla sicurezza delle e-mail, ma non necessariamente insegniamo loro come gestire le telefonate insolite. In questo caso, il dipendente ha reagito rapidamente e ha avuto la presenza di spirito", ha detto Brandt.
Dopo l'attacco all'azienda svizzera, Sophos X-Ops ha scoperto un altro attacco con lo stesso approccio contro un'azienda in Australia. Qualunque sia il gruppo dietro questi attacchi è probabilmente ancora attivo e Sophos monitorerà la situazione.
Fonte e ulteriori informazioni: Sophos
