Necurs è indubbiamente la botnet più estesa al mondo, composta da milioni di dispositivi infetti finiti sotto il suo controllo: ne abbiamo parlato spesso, come "centro nevralgico" di attacchi spam, phishing e per la distribuzione di exploit e a malware di ogni tipo.
Proprio in questi giorni ha subito un update: ha migliorato il proprio "equipaggiamento" e usa attualmente una nuova tecnica per infettare le vittime. Questa tecnica consiste nell'invio di una mail ad una nuova, potenziale vittima con un file allegato: questo file, una volta estratto, contiene un altro file in formato .URL. Questo è un tipico file di collegamento che apre una pagina web direttamente nel browser invece che in una location in locale. La destinazione finale di questo link è un file script remoto che scarica e esegue automaticamente il payload finale.
Necurs distribuisce Quant Loader via file .URL
In questa particolare ondata di email di spam Necurs sta distribuendo con una massiccia campagna di spam Quant Loader, un trojan che fondamentalmente si limita a assicurarsi la persistenza sull'hoste e a scaricare altri malware.
Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate.
Questa tecnica non è assolutamente nuova, perchè già in passato i cyber criminali avevano ausato dei file .URL: è però una novità assoluta per Necurs. Ciò che contraddistingue questa tecnica è la catena d'infezione semplificata, che si basa ora sulla distribuzione di un solo file .URL zippato. Il che è una novità appunto, perchè negli ultimi sei anni, da quando Necurs è apparsa sulle scene, ha sempre preferito catene di infezione piuttosto complicate.
Ma perchè questa nuova tecnica?
Il motivo è facile: una catena di infezione così semplice, di questo tipo, paradossalmente riesce ad evitare gli scanner antimalware che analizzano ogni singola email in cerca di link dannosi o allegati compromessi. Tali soluzioni di sicurezza infatti funzionano su regole preimpostate, la maggior parte delle quali sono state impostate dai ricercatori di sicurezza sulla base di catene d'infezione o modelli di attacco già osservati in precedenza. Di per sé l'uso dei file URL per diffondere collegamenti a link compromessi non resterà così vantaggioso a lungo, dato che basta ri aggiornare le regole di rilevamento: nel frattempo però Necurs sta mietendo più vittime del solito.
Chiaramente per i gestori di Necurs basterà variare anche di poco la tecnica di distribuzione del payload per far ricominciare da capo il gioco.
Qualche consiglio per difendersi...
Ciò che è bene ricordarsi è che i file :URL lavorano come altri file di collegamento di Windows, ad esempio i .LNK: come tutti i file di questo tipo possono usare icone personalizzate. Ecco perchè i file .URL in distribuzione in questi giorni recano come icona quella standard per le cartelle: questo piccolo accorgimento aiuta a nascondere il file e a confondere gli utenti, i quali saranno portati a pensare, una volta estrato il contenuto dall'archivio .zip, di aver decompresso una cartella contenente file. E' proprio ciò che serve ai cyber criminali, così "la cartella" verrà "aperta" e avrà inizio la catena di infezione.
Per proteggersi però c'è un trucco: proprio come ogni altro file di scelta rapida di Windows, i file .URL mostrano la classica icona a forma di freccia nell'angolo in basso a sinistra dell'icona della cartella, come mostrato sotto.
 |
| Fonte: bleepingcomputer |
Quindi prestare attenzione alla presenza di questo marcatore può essere dirimente per evitare la catena di infezione.
Nessun commento:
Posta un commento