Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

L’Italia colpita dalla campagna di phishing Balada Injector. L’APT iraniano MuddyWater è coinvolto?

Davide Cavallini : 29 Marzo 2024 14:56

Nel vasto panorama dell’informatica, emergono minacce sempre più insidiose che mettono a repentaglio la sicurezza online di aziende e utenti comuni. In questo contesto, gli attacchi di phishing rappresentano uno dei maggiori pericoli, capaci di ingannare anche i più attenti e informati.

Recentemente, il nostro team di Red Hot Cyber, composto da S.D., che desidera mantenere riservata la propria identità, Davide Cavallini, penetration tester e programmatore, e Davide Santoro, analista di cybersecurity, hanno fatto una scoperta sorprendente nel panorama della cybersecurity italiana. Si tratta di un attacco di phishing particolare, caratterizzato da una sofisticata tecnica di inganno e probabili origini nelle zone iraniane.

La campagna di Malspam di probabile origine iraniana

Questo attacco si distingue per la sua natura insidiosa e per le sue potenziali implicazioni per la sicurezza nazionale e individuale. Siamo riusciti a individuare le tracce di questo attacco e ad analizzarne le caratteristiche distintive.

Oggi, delle e-mail apparentemente innocue sono giunte nelle caselle di posta di diverse aziende italiane. Il messaggio è impeccabile, redatto con un italiano perfetto e apparentemente privo di qualsiasi sospetto. Tuttavia, al di là delle apparenze, cela una minaccia insidiosa. Al suo interno, un link, apparentemente normale, invita i destinatari a cliccare per accedere a informazioni importanti e completare un’azione urgente. 

Sample dell’email analizzata (Fonte Red Hot Cyber)

Tuttavia, un occhio attento noterebbe qualcosa di strano nell’URL a cui punta il link: una sequenza di caratteri criptici e un dominio poco familiare. E’ il primo indizio che qualcosa non va, una sottile avvisaglia di pericolo nell’apparente normalità.

Avviata una “investigazione”, il nostro team di Red Hot Cyber ha deciso di esplorare il misterioso link per scoprire che cosa si celasse dietro.

Cosa c’è dietro il link della campagna di phishing

A prima vista, ci siamo immediatamente accorti che il link nell’email reindirizza verso un altro sito web, il quale ospita un documento PDF contraffatto che simula un ordine protetto da password. Dopo aver notato il redirect nel link dell’email, esaminiamo più da vicino il flusso delle richieste utilizzando Burp Suite, abbiamo compreso meglio il tipo di redirect e se ci sia del codice nascosto tra il sito iniziale e la destinazione finale.

Durante questo processo, notiamo che che il link puntato dall’email effettua un redirect tramite JavaScript. Questo ci fa subito sospettare che possa trattare di un attacco di tipo stored XSS, in cui il codice dannoso viene memorizzato sul server e poi eseguito all’interno del browser del visitatore.

Codice che effettua il redirect (Fonte Red Hot Cyber)

Abbiamo scoperto che l’XSS Persistente (che è uguale a dire stored) è stato inserito nel sito sfruttando la CVE-2023-6000 del Popup Builder in versione .

Il redirect punta poi ad un altro sito tedesco di vendita di frutta molto probabilmente compromesso o configurato male – dato che il directory listing è abilitato – il quale contiene un finto file PDF.

Documento scaricabile dal sito WordPress Violato che accetta una autenticazione (Fonte Red Hot Cyber)

Modificando l’email nell’id della richiesta GET, l’email cambia anche nel PDF, quindi ognuno che riceverà l’email di phishing vedrà la propria email all’interno del campo “email”. Studiando un po’ il codice javascript di questo PDF, abbiamo poi scoperto che salva i dati tramite API in un altro sito WordPress iraniano.

Analisi del file PDF contenuto all’interno della email

Il codice che abbiamo inserito in github, nel link sottostante, è proprio quello che ruba i nostri dati e li memorizza in un altro server. Il file html era contenuto all’interno di uno zip all’interno della directory aperta del sito tedesco:

Analizzando meglio il file, il primo sfondo in base64 contiene lo sfondo del finto ordine in pdf come viene riportato nella figura successiva.

Sfondo del PDF visualizzato (Fonte Red Hot Cyber)
La seconda immagine in base64 contiene il finto logo del PDF (Fonte Red Hot Cyber)

Quindi, come dicevamo, questo codice HTML/JavaScript costituisce una pagina web che viene utilizzata per condurre un attacco di phishing tramite un documento PDF falso.

Ecco una spiegazione delle sue funzionalità:

  1. Struttura HTML: La pagina HTML è strutturata in modo standard con intestazioni, link a fogli di stile e script JavaScript.
  2. Contenuto: La pagina contiene elementi come campi di input per l’email e la password, un pulsante di verifica e avvisi per segnalare errori all’utente.
  3. Stile CSS: Sono presenti alcune regole CSS per la gestione dell’aspetto visivo della pagina, come la rimozione del contorno degli elementi attivi e la gestione dell’immagine di sfondo.

Analisi del codice Javascript

In sostanza, questo codice è progettato per simulare una pagina di accesso protetto a un documento PDF online al fine di rubare le credenziali degli utenti, che vengono poi inviate a un server remoto per l’elaborazione. Quindi:

  1. Il codice JavaScript è responsabile di alcune azioni di sicurezza, come la disabilitazione della combinazione di tasti Ctrl+S per evitare il salvataggio della pagina, la disabilitazione del menu contestuale del mouse e la disabilitazione di alcune combinazioni di tasti che potrebbero consentire operazioni indesiderate.
  2. C’è un blocco che controlla l’indirizzo email fornito dall’utente e verifica se è valido.
  3. Quando l’utente clicca sul pulsante di verifica, viene eseguita una richiesta AJAX per inviare le credenziali (email e password) a un server remoto (https://SITOWEB.ir/wpsignup.php ).
  4. Se le credenziali sono corrette, l’utente viene reindirizzato a un documento PDF (rubato ad un azienda italiana) che si trova su un server esterno. Questo reindirizzamento potrebbe avvenire anche dopo più tentativi di inserimento delle credenziali.
  5. Se le credenziali non sono corrette o si verifica un errore durante il processo, vengono mostrati messaggi di errore all’utente.

Dopo aver inserito le credenziali, l’utente viene reindirizzato a un documento PDF falso per mantenere l’illusione che l’accesso sia stato concesso correttamente.

Questo è il dato più preoccupante. Infatti questo indica possibili irregolarità nei sistemi informatici di alcune aziende italiane, suggerendo la possibilità di un attacco informatico di tipo Man-in-the-Middle (MITM). 

Data l’importanza strategica che potrebbero avere queste aziende per il paese, tale situazione richiede un’attenta valutazione e un’azione immediata per proteggere i dati sensibili e mitigare eventuali rischi per l’integrità delle operazioni.

La campagna di malspam Balada Injector

Dopo un’attenta analisi delle segnalazioni relative agli ultimi attacchi, il nostro team ha individuato un pattern comune che collega gli attacchi recenti a una campagna malevola nota come “Balada Injector“, che mira specificamente ai siti web che utilizzano il plugin WordPress Popup Builder. Questa campagna malevola sfrutta vulnerabilità nel plugin per eseguire attacchi di tipo Cross-Site Scripting (XSS) e compromettere la sicurezza dei siti web colpiti.

Per difendersi da questo tipo di attacco di phishing, è importante adottare diverse misure preventive e pratiche di sicurezza. Ecco alcuni consigli utili:

Protezione per l’utente finale (azienda):

  1. Consapevolezza degli utenti: Fornire formazione e sensibilizzazione agli utenti sull’importanza di riconoscere le minacce di phishing e evitare di cliccare su link o aprire allegati sospetti nelle email.
  2. Utilizzo di software di sicurezza: Installare e mantenere aggiornati software antivirus e antimalware sui dispositivi aziendali per rilevare e bloccare potenziali minacce informatiche, inclusi gli attacchi di phishing.

Protezione per i proprietari dei siti web:

  1. Aggiornamento regolare di librerie e plugin: Mantenere aggiornate tutte le librerie, i plugin e i framework utilizzati per lo sviluppo dei siti web al fine di correggere eventuali vulnerabilità di sicurezza e ridurre il rischio di exploit.
  2. Implementare politiche di sicurezza: Applicare politiche di sicurezza rigorose per prevenire attacchi XSS (Cross-Site Scripting) e richieste verso l’esterno, ad esempio:

Politiche per prevenire attacchi XSS:

  1. Filtraggio degli input: Validare e filtrare rigorosamente tutti i dati ricevuti dagli utenti attraverso i form di input sul sito web. Utilizzare whitelist per accettare solo caratteri e formati di dati consentiti, evitando di consentire l’inserimento di script o codice dannoso.
  2. Codifica dei dati: Assicurarsi che tutti i dati dinamici visualizzati sul sito web siano correttamente codificati per evitare l’esecuzione non autorizzata di script nel browser dell’utente. Utilizzare funzioni di codifica appropriate come HTML entity encoding o JavaScript escaping.
  3. Content Security Policy (CSP): Implementare una CSP appropriata che definisca le fonti consentite per l’esecuzione di script, lo stile e altre risorse nel browser. Utilizzare direttive come script-src, style-src e connect-src per limitare l’esecuzione di script solo da fonti attendibili e prevenire l’inclusione di script dannosi da fonti esterne.
  4. Sanitizzazione degli input: Utilizzare librerie e framework di sviluppo web che offrono funzionalità di sanitizzazione degli input per rimuovere automaticamente o neutralizzare eventuali script dannosi dai dati inseriti dagli utenti.
  5. Validazione dell’input lato server: Effettuare la validazione dell’input lato server per garantire che i dati ricevuti dagli utenti siano conformi ai requisiti di formato e sicurezza specificati prima di elaborarli o memorizzarli nel database.

Politiche per prevenire chiamate esterne indesiderate:

  1. Validazione degli URL: Verificare attentamente e convalidare gli URL di reindirizzamento e le chiamate esterne utilizzate nel sito web per evitare il reindirizzamento non autorizzato degli utenti verso siti dannosi o compromessi.
  2. Limitare le risorse esterne: Limitare l’utilizzo di risorse esterne nel sito web, come script, stili e immagini, solo a fonti attendibili e affidabili. Evitare di caricare risorse da domini non fidati o non verificati.
  3. Autenticazione e autorizzazione: Utilizzare l’autenticazione e l’autorizzazione per limitare l’accesso alle risorse esterne solo agli utenti autorizzati e autenticati. Utilizzare token di accesso o chiavi API per controllare l’accesso alle risorse esterne e prevenire abusi.
  4. Monitoraggio delle chiamate esterne: Monitorare regolarmente l’attività delle chiamate esterne dal sito web per individuare comportamenti sospetti o attività non autorizzate. Utilizzare strumenti di monitoraggio e logging per tracciare e analizzare le chiamate esterne al sito web.

Implementando queste misure preventive e pratiche di sicurezza, sia gli utenti finali che i proprietari dei siti web possono contribuire a proteggere se stessi e gli altri dalle minacce online, inclusi gli attacchi di phishing e le violazioni della sicurezza informatica.

L’APT iraniano dietro la campagna di malspam potrebbe essere MuddyWater

Grazie alla condivisione di informazioni – elemento indispensabile sia per la formazione costante che per la condivisione ed analisi del rischio – possiamo ipotizzare che dietro l’attacco potrebbe esserci un gruppo APT iraniano che ha già fatto largo uso in passato – sotto varie forme – di queste tecniche.

Stiamo parlando di MuddyWater, un APT iraniano attivo dal 2017 e specializzato in cyberspionaggio mediante l’utilizzo sia di tools liberamente disponibili che di malware univoci sviluppati dal gruppo stesso, che solitamente punta soprattutto a paesi del Medio Oriente(con ovviamente una particolare attenzione ad Israele ed Arabia Saudita) ma che ovviamente non disdegna attacchi anche verso altri paesi.

Nel corso degli anni, in molti si sono occupati di MuddyWater che, pur essendo risalente al 24 Febbraio 2022, rappresenta una pietra miliare delle TTP dell’APT iraniano. Ovviamente, alcuni elementi ci hanno portati verso questa direzione:

  • L’analisi delle TTP utilizzate nell’attacco esaminato;
  • La tipologia dei siti compromessi utilizzati nelle varie fasi dell’attacco;
  • Il fatto di utilizzare una campagna di spearphishing credibile avente ad oggetto delle ipotetiche fatture, come già effettuato in precedenza

Conclusione

La sicurezza online è una responsabilità condivisa che richiede impegno e consapevolezza da parte di tutti gli attori coinvolti. Speriamo che questi consigli pratici possano aiutarti a proteggerti dagli attacchi di phishing e XSS ed a mantenere la tua presenza online al sicuro.

Ricorda sempre di rimanere vigile, di aggiornare regolarmente il tuo software di sicurezza e di adottare pratiche di sicurezza informatica consapevoli. Con un approccio proattivo alla sicurezza, possiamo tutti contribuire a creare un ambiente online più sicuro e protetto per tutti.

Continueremo a monitorare da vicino lo sviluppo di questa campagna malevola e a fornire aggiornamenti e consigli aggiuntivi per proteggere i siti web dagli attacchi. Restate sintonizzati per ulteriori informazioni e raccomandazioni sulla sicurezza informatica.

Se hai ulteriori domande o hai bisogno di assistenza, non esitare a contattarci. Insieme possiamo fare la differenza nella lotta contro le minacce informatiche.

Resta al sicuro e buona navigazione online!

Davide Cavallini
Davide Cavallini è un esperto sviluppatore senior specializzato in Laravel e JavaScript, con una notevole esperienza come penetration tester. La sua carriera è caratterizzata da un impegno nell'insegnamento e nella condivisione della sua conoscenza, contribuendo alla formazione di nuovi professionisti nel campo dello sviluppo software e della sicurezza informatica. La sua passione per la tecnologia lo spinge a rimanere sempre aggiornato e a esplorare nuove frontiere dell'informatica.