giovedì 21 maggio 2020

Alert di Microsoft: è in corso un attacco di phishing di massa a tema Covid per ottenere l'accesso da remoto ai pc delle vittime



L'alert è di due giorni fa e proviene direttamente da Microsoft, che ha ritenuto importante avvisare gli utenti di questa campagna a causa della sua diffusione di massa. La campagna è l'ennesima a tema Covid, ma è molto insidiosa e peculiare: cerca di convincere gli utenti ad installare un Remote Access Trojan legale, ovvero il tool di assistenza da remoto NetSupport Manager.

L'email vettore
L'attacco inizia con la ricezione di una email apparentemente proveniente dal Johns Hopkins Center, uno dei centri di ricerca più importanti degli Stati Uniti e pluri citato dai media nel mondo proprio in queste settimane per le sue attente e continuative ricerche riguardanti l'andamento della pandemia da Covid nel mondo. L'email sembra essere un aggiornamento del numero delle morti causate dal Covid. 

Fonte: Microsoft

Una delle email vettore studiate dai ricercatori, contiene come allegato dannoso un file Excel rinominato 'covid_usa_nyt_8072.xls' che, se aperto, mostra un grafico che illustra l'andamento del numero dei morti negli Stati Uniti secondo i dati forniti dal New York Times. 

Fonte: Microsoft

Il documento contiene una macro dannosa e c'è, ovviamente, l'immancabile richiesta all'utente di abilitarla per poter visualizzare correttamente i contenuti. Una volta abilitata, la macro dannosa viene eseguita e scarica e installa NetSupport Manager da un sito remoto. 

Le email variano e anche i nomi e i contenuti degli allegati Excel, probabilmente secondo la zona di distribuzione nel mondo, ma tutte quante si connettono allo stesso URL per scaricare il payload. Altro dato in comune è che questi file sono altamente offuscati, evidentemente per ridurre il rischio di individuazione da parte delle soluzioni antivirus.

NetSupport Manager non è (in teoria) un malware
La particolarità è che NetSupport Manager è un tool assolutamente legale, comunemente utilizzato per eseguire sessioni di assistenza da remoto. In questo caso quindi gli attaccanti stanno abusando di un tool legittimo per ottenere l'accesso da remoto alla macchina della vittima: una volta installato consente infatti il totale controllo del computer e l'attaccante può eseguire qualsiasi tipo di codice da remoto. Questa pratica è purtroppo in uso da tempo: sono centinaia i forum di tool di hacking che sfruttando questo tool legittimo come remote access trojan (RAT). 

Un accesso, molti malware 
Dopo poco tempo dall'installazione di NetSupport Manager gli attaccanti iniziano a compromettere ulteriormente i computer delle vittime tramite installazione di altri script e tool dannosi. 

"Il Rat NetSupport usato in questa campagna distribuisce molti componenti dannosi, tra i quali molte librerie .dll, altri file eseguibili .exe, script VBS e uno script PowerShell per eseguire exploit. Si connette a un server di comando e controllo tramite il quale gli attaccanti inviano le istruzioni alla macchina infetta" ha spiegato Microsoft. 

E' molto probabile, continuano gli esperti di Microsoft, che tra i malware distribuiti nella macchina della vittima, figurino infostealer o altri malware per il furto dati: un utente che dovesse essere colpito da questo attacco deve pensare di aver subito un furto dati, tra i quali sicuramente le password. 

Nessun commento:

Posta un commento