BaseCamp è l'ultimo servizio abusato da criminali informatici per la diffusione di malware in un nuovo attacco di phishing. Si sono verificati diversi incidenti in questo senso che hanno portato alla conclusione che questa potrebbe essere una nuova tendenza tra i criminali. BaseCamp è un popolare servizio online utilizzato per la gestione e la collaborazione dei progetti.
Le campagne di phishing ora si concentrano su BaseCamp: Il servizio viene utilizzato per diffondere malware
Gli utenti del servizio BaseCamp devono stare attenti poiché il servizio online è ora preso di mira dagli hacker di computer. Il popolare sito di collaborazione è l'ultima vittima di molteplici attacchi di phishing da parte di gruppi di computer sconosciuti. Al momento non ci sono informazioni sull'identità dei criminali. Abbiamo scoperto che gli hacker hanno sfruttato le capacità del servizio nel tentativo di indurre gli utenti di computer a essere infettati da malware.
Il punto di intrusione è il processo di creazione del documento: quando si creano elementi online, il servizio BaseCamp consente una formattazione avanzata utilizzando collegamenti HTML, decorazioni di testo e immagini. Gli utenti possono caricare praticamente qualsiasi tipo di file nei progetti, anche quelli che sono portatori di virus comuni.
Includono file eseguibili, Script e documenti JavaScript. In essi possono essere impostati vari malware:
- File eseguibili — Possono includere direttamente i file del malware o essere vettori infettati da virus. Gli eseguibili di questo tipo sono programmi di installazione dell'applicazione, cerotti, Aggiornamenti, componenti aggiuntivi e così via.
- Documenti — Di solito includono macro infettate da virus e possono essere di tutti i formati di file più diffusi: documenti di testo, fogli di calcolo, database e presentazioni.
- Codice del browser JavaScript — I browser web possono essere istruiti direttamente a scaricare ed eseguire il malware.
L'approccio di phishing utilizzato dagli hacker di computer consiste nell'utilizzare account rubati o creati di proposito sul servizio e utilizzare l'opzione di creazione dei documenti per caricare e distribuire i file dei virus sopra menzionati. I collegamenti possono essere inviati direttamente o tramite generatori di collegamenti abbreviati.
Questi collegamenti per il download possono quindi essere utilizzati per distribuire malware pericoloso, comprese le infezioni da cavalli di Troia e il ransomware di crittografia dei file. BaseCamp è considerato un vettore di carico utile ideale come lo è spesso “attendibile per impostazione predefinita” sia dagli utenti che dal software di sicurezza (inclusi i firewall). A tutt'oggi non si sono verificati casi degni di nota di gravi infezioni da virus veicolate, portandoci a credere che questo approccio sia più adatto a tutti i tipi di utenti.
Quello che sappiamo è che alcune delle attuali tattiche di phishing stanno inviando campioni di BazarLoader Trojan, una variante del malware TrickBot. È progettato per infiltrarsi nei computer degli utenti di computer e diffondersi nella loro rete interna. Tali virus consentiranno agli hacker di assumere il controllo dei sistemi, spia sulle vittime, e installa anche altre minacce. La scansione dell'esecuzione del codice mostra che il file Ryuk ransomware è installato. Questo è tra i virus più pericolosi in questa categoria.
Consigliamo a tutti gli utenti di procedere con cautela anche all'apertura di documenti di servizio inviati da persone non attendibili. Le informazioni su questi incidenti sono state pubblicate online dal ricercatore sulla sicurezza Will Thomas che ha scoperto le pagine intermedie di phishing. Le infezioni da Trojan sono state rilevate da MalwareHunterTeam.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: