Un messaggio di cancellazione da Booking.com con una penale elevata sembra una pratica commerciale tipica di hotel e appartamenti. Ma è proprio questo tipo di email a dare il via a una nuova campagna malware, monitorata dagli specialisti di Securonix con il nome di PHALT#BLYX. Dimostra chiaramente come gli attacchi moderni si basino sempre più non sulle vulnerabilità, ma sulla psicologia dell’utente e sulla fiducia negli strumenti integrati di Windows.
L’attacco prende di mira il settore alberghiero ed è stato utilizzato attivamente durante l’alta stagione delle vacanze. Le vittime ricevono email di phishing che presumibilmente chiedono la cancellazione di una prenotazione, con i dettagli del pagamento in euro. Questo crea un senso di urgenza e spinge il destinatario a cliccare sul link il più rapidamente possibile. Invece del vero sito web di Booking.com, l’utente viene reindirizzato a un falso di alta qualità, quasi indistinguibile dall’originale. I loghi, i caratteri e i colori appaiono convincenti e quindi non destano sospetti.
La pagina falsa visualizza un messaggio su un presunto errore di download e chiede alla vittima di aggiornare la pagina. Dopo aver cliccato, il browser si espande a schermo intero e simula la schermata blu di errore di Windows. All’utente viene offerta una semplice soluzione: aprire la finestra Esegui, incollare il comando copiato e premere Invio. In realtà, uno script PowerShell dannoso è stato inserito negli appunti. Questo consente alla vittima di avviare l’infezione, aggirando molti meccanismi di protezione automatici.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’attacco si sviluppa quindi in diverse fasi. Lo script PowerShell scarica uno speciale file di progetto MSBuild e lo esegue utilizzando lo strumento di build nativo di Microsoft. Questo è un passaggio chiave dell’intera catena. L’utilizzo di un binario di sistema attendibile consente all’attacco di apparire legittimo e spesso di aggirare i software antivirus e le policy di controllo delle applicazioni. Come diversivo, il sito di amministrazione legittimo di Booking.com si apre nel browser per eludere il rilevamento.
Il progetto MSBuild scaricato contiene codice incorporato che inizialmente indebolisce la sicurezza del sistema. Nello specifico, aggiunge esclusioni a Windows Defender per directory e tipi di file importanti e, se sono presenti privilegi di amministratore, disabilita completamente la protezione in tempo reale. Questo apre la strada al download del componente dannoso principale. Se i privilegi di amministratore non sono presenti, il malware visualizza costantemente richieste di Controllo dell’account utente, nella speranza che l’utente acconsenta a questi pop-up.
Il payload finale è un DCRat modificato , un noto strumento di controllo remoto strettamente associato ai criminali informatici di lingua russa. Stabilisce un accesso persistente al sistema, si infiltra nei processi Windows legittimi, intercetta le sequenze di tasti, raccoglie dati di sistema e può scaricare moduli aggiuntivi, inclusi miner e altri malware. Per stabilire la persistenza, utilizza una tecnica insolita che prevede collegamenti .url nella cartella di avvio, che puntano a un file eseguibile locale.
I ricercatori hanno anche rilevato tracce di russo nelle stringhe di servizio e nei messaggi di debug all’interno del codice dannoso. La formulazione appare naturale e grammaticalmente corretta, il che indica che il malware è stato sviluppato da madrelingua o che è stato utilizzato un toolkit già pronto, reperibile su forum underground in lingua russa. Ciò si allinea perfettamente alla scelta di DCRat, da tempo popolare in questo segmento.
La campagna PHALT#BLYX dimostra quanto possa essere pericolosa una combinazione di ingegneria sociale e cosiddette tecniche di “living off the land ” (LotL), che utilizzano strumenti standard dei sistemi operativi per gli attacchi. In tali scenari, la protezione tradizionale basata sulle firme spesso risulta insufficiente e il comportamento degli utenti diventa il fattore chiave. Gli esperti consigliano di prestare particolare attenzione alla formazione dei dipendenti, di diffidare delle email finanziarie urgenti e di monitorare attentamente le attività insolite nelle utility di sistema come MSBuild. È proprio in questi dettagli che si celano sempre più i primi segnali di un incidente grave.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Vulnerabilità
Cyber Italia
Vulnerabilità
Cyber Italia