TA505 è un gruppo di criminalità informatica attivo dal 2014, che prende di mira istituzioni educative e finanziarie. Nel febbraio 2020, l'Università di Maastricht, un'università pubblica dei Paesi Bassi, ha riferito di essere stata vittima di un massiccio attacco ransomware di TA505 tramite e-mail di phishing. TA505 utilizza solitamente e-mail di phishing per consegnare file Excel dannosi che rilasciano payload una volta aperti. Le e-mail di phishing di TA505 utilizzano allegati con un reindirizzatore HTML per consegnare i file Excel dannosi, secondo una ricerca condotta da TrendMicro nel luglio 2019. Recentemente, una nuova campagna di e-mail di phishing che utilizza la stessa strategia di attacco è stata scoperta dal team di Microsoft Security Intelligence. In questo blog post, daremo un'occhiata ai file utilizzati nell'attacco ed esploreremo come la tecnologiaDeep Content Disarm and Reconstruction di OPSWAT(Deep CDR ) possa aiutare a prevenire attacchi simili.
Vettori di attacco
Il flusso di attacco utilizzato è molto comune:
- Un'e-mail di phishing con un allegato HTML viene inviata alla vittima.
- Quando la vittima apre il file HTML, scarica automaticamente un file Excel macro dannoso.
- Questo file Excel rilascia un payload dannoso quando la vittima lo apre.
I file HTML ed Excel sono stati esaminati su metadefender. opswat.com all'inizio di febbraio 2020.
Il file HTML è stato identificato come una falsa pagina Cloudflare con un JavaScript relativamente semplice per reindirizzare gli utenti a una pagina di download dopo 5 secondi.
Il file Excel contiene diverse macro offuscate.
Quando la vittima apre il file e attiva la macro, appare una falsa interfaccia utente del processo di Windows, che in realtà è un modulo di Visual Basic, facendo credere alla vittima che Excel stia configurando qualcosa.
In background, la macro viene eseguita e rilascia un paio di file sul sistema della vittima con i seguenti percorsi: C:´Users'user´AppData´Local'Temp´copy13.xlsx, C:´Users'user´AppData´Roaming´Microsoft'Windows'Templates'sample_.dll (RAT)
Come può Deep CDR proteggervi dall'attacco di phishing?
Se il file HTML viene sanificato da Deep CDR, tutti i vettori di rischio verranno rimossi, compreso Javascript. Al termine del processo, l'utente apre il file sanificato senza il reindirizzamento menzionato. Di conseguenza, il file Excel dannoso non può essere scaricato.
Inoltre, le campagne di phishing di TA505 erano solite inviare il file Excel dannoso come allegato e-mail direttamente alle vittime. Anche in questo caso, Deep CDR è efficace. Rimuove tutte le macro, gli OLE e sanifica ricorsivamente tutte le immagini presenti nel file.
Conclusione
È testimoniato che TA505 è molto attivo nelle campagne di phishing via e-mail al giorno d'oggi. Sono stati utilizzati diversi tipi di malware sofisticati per aumentare le possibilità di entrare nel sistema. Si consiglia alle aziende di migliorare la formazione dei dipendenti in materia di phishing e il sistema di sicurezza. MetaDefender Core Sfruttando 6 tecnologie di cybersecurity leader del settore, in combinazione con MetaDefender Email Security, offre la protezione più completa alla vostra organizzazione. MetaDefenderLa tecnologia Multiscanning utilizza la potenza di oltre 35 motori AV commerciali per rilevare quasi il 100% del malware conosciuto, mentre Deep CDR contro gli attacchi zero-day di minacce sconosciute. Inoltre, come livello di protezione PII essenziale, Proactive DLP impedisce ai dati sensibili contenuti nei file e nelle e-mail di entrare o uscire dall'organizzazione.
Programmate un incontro con un esperto tecnico di OPSWAT per scoprire come proteggere la vostra organizzazione dalle minacce informatiche avanzate.
Riferimento:
