TA505 è un gruppo di criminali informatici attivo dal 2014 che prende di mira istituzioni del settore dell’istruzione e finanziario. Nel febbraio 2020, l’Università di Maastricht, un ateneo pubblico dei Paesi Bassi, ha segnalato di essere stata vittima di un massiccio attacco ransomware sferrato da TA505 tramite e-mail di phishing. TA505 utilizza solitamente e-mail di phishing per distribuire file Excel dannosi che rilasciano payload una volta aperti. Secondo una ricerca condotta da TrendMicro nel luglio 2019, le e-mail di phishing di TA505 utilizzano allegati contenenti un reindirizzatore HTML per distribuire i file Excel dannosi. Recentemente, il team Microsoft Security Intelligence ha scoperto una nuova campagna di e-mail di phishing che utilizza la stessa strategia di attacco. In questo post del blog, daremo un'occhiata ai file utilizzati nell'attacco ed esploreremo come Deep Content Disarm and Reconstruction (Deep CDR™ Technology) OPSWATpossa aiutare a prevenire attacchi simili.
Vettori di attacco
Il flusso di attacco utilizzato è molto comune:
- Un'e-mail di phishing con un allegato HTML viene inviata alla vittima.
- Quando la vittima apre il file HTML, scarica automaticamente un file Excel macro dannoso.
- Questo file Excel rilascia un payload dannoso quando la vittima lo apre.
I file HTML ed Excel sono stati esaminati su metadefender. opswat.com all'inizio di febbraio 2020.
Il file HTML è stato identificato come una falsa pagina Cloudflare con un JavaScript relativamente semplice per reindirizzare gli utenti a una pagina di download dopo 5 secondi.
Il file Excel contiene diverse macro offuscate.
Quando la vittima apre il file e attiva la macro, appare una falsa interfaccia utente del processo di Windows, che in realtà è un modulo di Visual Basic, facendo credere alla vittima che Excel stia configurando qualcosa.
In background, la macro viene eseguita e rilascia un paio di file sul sistema della vittima con i seguenti percorsi: C:´Users'user´AppData´Local'Temp´copy13.xlsx, C:´Users'user´AppData´Roaming´Microsoft'Windows'Templates'sample_.dll (RAT)
In che modo la tecnologia Deep CDR™ può proteggerti dagli attacchi di phishing?
Se il file HTML viene sottoposto a sanificazione tramite la tecnologia Deep CDR™, tutti i vettori di rischio verranno rimossi, compreso il codice JavaScript. Al termine del processo, l'utente apre il file sanificato senza che si verifichi il reindirizzamento menzionato. Di conseguenza, non è possibile scaricare nemmeno il file Excel dannoso.
Inoltre, le campagne di phishing condotte da TA505 prevedevano l'invio diretto alle vittime del file Excel dannoso come allegato e-mail. Anche in questo caso, la tecnologia Deep CDR™ si rivela efficace: rimuove tutte le macro e gli elementi OLE e pulisce in modo ricorsivo tutte le immagini contenute nel file.
Conclusione
È stato riscontrato che TA505 è attualmente molto attivo con campagne di phishing via e-mail. Sono stati utilizzati vari tipi di malware sofisticati per aumentare le probabilità di infiltrarsi nei sistemi. Si consiglia alle aziende di potenziare sia la formazione dei propri dipendenti in materia di phishing sia i propri sistemi di sicurezza. MetaDefender Core sfruttando 6 tecnologie di sicurezza informatica leader del settore, in combinazione con MetaDefender Email Security, offre alla vostra organizzazione la protezione più completa. Multiscanning MetaDefendersfrutta la potenza di oltre 35 motori antivirus commerciali per rilevare quasi il 100% del malware conosciuto, mentre la tecnologia Deep CDR™ contrasta gli attacchi zero-day da parte di minacce sconosciute. Inoltre, come livello essenziale di protezione delle informazioni personali identificabili (PII), Proactive DLP impedisce ai dati sensibili contenuti in file ed e-mail di entrare o uscire dalla tua organizzazione.
Programmate un incontro con un esperto tecnico di OPSWAT per scoprire come proteggere la vostra organizzazione dalle minacce informatiche avanzate.
Riferimento:
