Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
A volte gli attacchi informatici non partono da exploit spettacolari o vulnerabilità zero-day. No.
Molto più spesso iniziano da qualcosa di ordinario, come ad esempio un file ricevuto via email, magari un archivio che sembra contenere documenti di lavoro.
Ed è proprio così che prende forma la campagna analizzata nel report dedicato a BlackSanta. Un’operazione costruita con attenzione, dove ogni passaggio serve a confondere chi analizza e a eludere i sistemi di protezione.
Tutto comincia con un file compresso chiamato Invoices_and_As_Built_Drawings.zip. A prima vista sembra un archivio di lavoro, uno di quelli che circolano ogni giorno tra uffici tecnici o amministrativi.
Dentro però non ci sono documenti tradizionali. L’archivio contiene collegamenti Windows con estensione LNK, ad esempio Drawing-7429.lnk o Invoice-7429.lnk. File che, quando vengono aperti, eseguono comandi sul sistema.
È qui che la catena dell’attacco prende vita. I collegamenti avviano script che iniziano a scaricare ed eseguire ulteriori componenti. Tutto in modo piuttosto silenzioso e quasi invisibile.
Una volta attivato il primo passaggio, entrano in gioco diversi elementi tecnici. Gli script utilizzano strumenti di sistema, tra cui PowerShell, per recuperare file aggiuntivi e preparare l’ambiente all’esecuzione del malware.
Tra le tecniche osservate c’è anche il DLL sideloading. In questo caso viene sfruttato un eseguibile legittimo chiamato msoev.exe, che carica una libreria malevola posizionata nella stessa cartella.
Questo metodo permette al codice dannoso di essere eseguito sotto l’apparenza di un programma affidabile. Una scelta tutt’altro che casuale, perché rende l’attività molto più difficile da individuare durante i controlli di sicurezza.
Uno degli aspetti più interessanti dell’operazione riguarda l’uso della tecnica BYOVD, acronimo di Bring Your Own Vulnerable Driver. In pratica vengono sfruttati driver firmati ma vulnerabili per ottenere accesso a livello kernel.
Con questo livello di accesso, il malware può intervenire direttamente sui processi del sistema. In particolare può individuare e terminare software di sicurezza come EDR o altre soluzioni di protezione.
Una volta ridotta l’efficacia delle difese, l’attaccante ha molta più libertà di movimento all’interno della macchina compromessa. Ed è proprio questo passaggio che rende l’operazione particolarmente insidiosa. L’analisi tecnica completa della campagna è stata pubblicata dai ricercatori di Aryaka nel loro report dedicato a BlackSanta.
Per la community di Red Hot Cyber c’è una riflessione: spesso non serve una vulnerabilità sofisticata per compromettere un sistema. Basta un file apparentemente innocuo che qualcuno decide di aprire.
Ed è lì che la sicurezza e la consapevolezza del rischio dovrebbe iniziare a fare davvero la differenza.
