Microsoft Office 365 gli utenti sono le vittime più recenti di attacchi di phishing di massa progettati per ricattarli in apertura di file malware. I file dannosi sono ospitati in file SLK che includono anche un nuovo meccanismo di infezione.
Nuova tecnica di intrusione utilizzata per truffare Microsoft Office 365 Utenti per aprire i file SLK
I criminali informatici sono costantemente alla ricerca di nuovi metodi per infettare potenziali utenti malintenzionati. In questo caso particolare i criminali si sono concentrati su utenti di Microsoft Office 265 utenti. Per questo motivo il gruppo di hacking ha escogitato una nuova strategia di infezione che è descritta come un nuovo approccio per bypassare la sicurezza predefinita dell'applicazione. La strategia ideata dagli aggressori è il bypass di Microsoft Office 365 opzioni, comprese le disposizioni di sicurezza avanzate.
La strategia di infezione prevede la distribuzione dell'uso di File SLK che sono allegati in i messaggi di posta elettronica di phishing mirato agli utenti. Gli hacker possono tentare di utilizzare diverse strategie:
- Messaggi di phishing e-mail — Gli hacker impersoneranno aziende e servizi noti alle vittime. Questi messaggi conterranno grafica e contenuti rubati o falsi che assomigliano ai siti reali. Aprendoli i file possono essere collegati o allegati.
- I messaggi di spam — I messaggi inviati in blocco possono essere utilizzati come corrieri per l'infezione. In questo caso, è possibile programmare scenari generici per trasportare le minacce.
- File gestori di malware — L'infezione può far parte dei file del corriere che installeranno la minaccia non appena vengono eseguiti. Esempi sono documenti macro-infettati (da tutti i formati più diffusi) e installatori pacchetto applicativo — gli hacker inseriranno il codice pertinente nei file di installazione del software che viene spesso installato dagli utenti finali.
Gli attacchi iniziano con l'esecuzione dell'allegato File SLK. Contengono uno script macro dannoso che avvierà il relativo meccanismo di consegna responsabile del download del codice malware. Questo distribuirà a Trojan di accesso remoto che consentirà agli hacker di assumere il controllo delle macchine infette. Questo viene fatto installando un client locale sul sistema che stabilirà una connessione a un server controllato dagli hacker gestito dal gruppo criminale.
Il file SLK effettivo è a formato basato su testo che viene utilizzato nel software per fogli di calcolo (come Microsoft Excel) che non viene spesso utilizzato. Tuttavia è ancora usato in alcuni casi e può essere aperto dalla maggior parte delle versioni moderne del programma. In questo caso non molte organizzazioni sono state colpite — è molto possibile che ciò avvenga in una campagna mirata.
Per questo particolare attacco è stata diretta la campagna Hotmail caselle di posta ospitate. Sono i mittenti delle e-mail malware e includono file pericolosi, incluse le macro. Gli hacker useranno vari personaggi tra cui ^ per bypassare i filtri di sicurezza della posta elettronica — questo eviterà alcuni controlli antivirus. L'URL effettivo verrà inoltre suddiviso in due parti che impediranno al sistema di sicurezza di leggerlo come collegamento Web.
Vedendo come questi attacchi continuano ad essere inviati contro aziende e servizi, è molto probabile che gli hacker continueranno con i tentativi di intrusione in futuro.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: