lunedì 30 marzo 2020

L'attacco che non ti aspetti: il malware arriva per posta


Trustwave ha riportato una notizia che ha quasi dell'incredibile e che raccontiamo più per la bizzaria della tecnica usata che per il rischio che una tipologia di attacco simile possa assumere dimensioni di massa. E' però un episodio indicativo sia della creatività e inventiva dei cyber criminali, sia dell'importanza di formare i dipendenti affinchè siano consapevoli dei rischi informatici che possono correre nel corso della prestazione lavorativa. 

La storia è breve: un ospedale negli Stati Uniti riceve per posta un pacco. Il pacco è incartato con i loghi societari di Best Buy, il più grande rivenditore di elettronica al dettaglio negli Stati Uniti. Il pacco contiene una lettera e una chiavetta USB. La lettera annuncia l'accredito di una gift card del valore di 50 dollari, spendibili su una serie di prodotti Best Buy, la chiavetta dovrebbe contenere l'elenco dei prodotti acquistabili col buono regalo. 

Fonte: Trustwave

Il dipendente della struttura ospedaliera che ha ricevuto il pacco, evidentemente consapevole dei rischi informatici che anche una banale chiavetta USB può comportare, si è insospettito ed ha avvisato i responsabili della sicurezza informatica aziendali senza inserire la chiavetta USB nel proprio computer. E ha fatto bene, poiché le successive analisi hanno mostrato risultati preoccupanti.

In realtà la chiavetta USB non è una banale unità di memoria, ma un dispositivo ben preciso, simile solo in apparenza ad una chiavetta USB: al suo interno contiene infatti un microcontroller Arduino programmato per simulare una tastiera USB. Il dispositivo si chiama BadUSB Leonardo USB ATMEGA32U4 e costa pochissimi euro sul web. 


In sunto, la chiavetta è programmata per iniettare un comando PowerShell scaricato da un sito web, il quale, a sua volta, avvia il download di un payload che viene installato sull'endpoint. Per non insospettire l'utente, lo script è programmato per mostrare un messaggio di errore (vedi foto sotto), volto a far semplicemente credere che la chiavetta USB sia difettosa. 

Fonte: Trustwave

Da questo momento il payload inizia una serie di comunicazioni, ben protette da criptazione, con un server di comando e controllo, dal quale riceve le istruzioni per scaricare il lo stadio finale del payload. Lo schema sotto riassume la catena di infezione:

Fonte: Trustwave
Nonostante le analisi effettuate dai ricercatori Trustware, il malware è del tutto nuovo, sconosciuto, e si ipotizza che sia stato approntato in maniera mirata proprio per colpire la struttura ospedaliera. Sono comunque state individuate alcune funzioni: il trojan invia al server C&C informazioni sull'utente, sul livello di privilegi che gli sono concessi, sulla versione del sistema operativo installato e di altri software in uso come la suite Microsoft Office e Adobe. Ovviamente la funzione primaria è quella di installare una backdoor: dal momento dell'esecuzione del malware quindi gli attaccanti ottengono libertà di azione sull'endpoint e, si presume, anche sulla rete a cui questo è collegato. 

Nessun commento:

Posta un commento