Barracudaha recentemente lanciato Barracuda Security Insight, una nuova piattaforma sulla sicurezza, che fornisce in tempo reale informazioni sui rischi e sulle minacce per aiutare a creare consapevolezza sui livelli attuali dei rischi. Chiunque abbia un accesso a Internet può utilizzarla per aggiornarsi regolarmente sulle minacce che si aggirano nel web. Se, ad esempio, gli esperti di Barracuda notano un aumento nel numero di Pdf contenente malware, Barracuda Security Insight segnalerà la minaccia come “allerta critica”, con una descrizione approfondita della minaccia, grazie alla quale gli utenti sanno da cosa doversi guardare.
In questo numero della rubrica Threat Spotlight, Barracuda prende in esame una recente “allerta critica” segnalata dalla piattaforma Security Insight: il malware cerca di impossessarsi delle password degli utenti utilizzando documenti Word o Excel allegati, spacciati per copie di una dichiarazione dei redditi o altri tipi di documenti ufficiali.
I criminali sono sempre alla caccia di password e credenziali; Barracuda rileva di continuo nuovi metodi per convincere gli utenti a consegnare le proprie informazioni personali.
La minaccia – Ladri di password: i criminali usano comuni tipi di file allegati per impossessarsi delle password dell’utente.
I dettagli – I cybercriminali rilasciano incessantemente vari tipi di malware in funzione dei loro obiettivi, spesso economici. Il ransomware è uno degli strumenti più comuni, ma sequestrare i dati e chiedere un riscatto non è il solo modo per ricavare denaro dalla distribuzione di malware. Le aziende cercano di acquisire il più possibile informazioni sulle abitudini di navigazione dei consumatori ai fini della targetizzazione pubblicitaria e dell’analisi dei dati: ma le informazioni che dovrebbero restare segrete sono ancora più preziose. Esiste un ricco mercato nero di password rubate e per questo il malware capace di carpire queste informazioni può generare ottimi profitti. L’uso esteso di software per l’archiviazione delle password (nei browser ad esempio) e le soluzioni di password management aggravano ulteriormente il problema, dato che nei computer di molti utenti giace un gran numero di password in attesa di essere rubate.
L’evoluzione del furto di password – Prima che si diffondessero metodi per la loro archiviazione, la sottrazione di password comportava l’attacco a un utente con un malware in grado di registrare quanto veniva digitato e trasmettere questi dati via Internet a intervalli regolari. Questa tecnica è tuttora utilizzata, ma l’anomalo incremento di traffico generato aumenta la probabilità che il malware venga scoperto prima che sia riuscito a rubare qualche password. Da quando però si usa salvare le password, è sufficiente che il malware riesca a violare il meccanismo di sicurezza che le protegge per riuscire a rubarle tutte in un colpo solo. Questo metodo rende l’individuazione più difficile a livello della rete dato che c’è solo un picco di traffico da riconoscere prima che le password vengano trasferite.
Indipendentemente dal mezzo utilizzato, una volta che le password sono state sottratte possono essere subito monetizzate, tanto o poco, in funzione di ciò a cui danno accesso. Le password di accesso alle banche online sono ovviamente le più facilmente monetizzabili, dato che il malvivente potrebbe tentare di trasferire fondi sul suo conto, ma anche le password di accesso all’email o ai social media possono avere un valore notevole.
La maggior parte degli account email e social offrono accesso a un certo numero di utenti che possono a loro volta essere oggetto di spam o di attacchi di phishing, senza contare che gli stessi indirizzi potrebbero essere venduti ad altri spammer. Gli account email hackerati sono inoltre spesso usati per altre truffe: il malvivente, ad esempio, può fingere di essere il legittimo proprietario dell’account e scrivere ai suoi contatti dicendo di essere bloccato all’estero e avere bisogno di denaro per tornare a casa. Anche le password di Windows possono essere un obiettivo, non solo per le possibilità di riutilizzo di account in cui la password non è stata salvata, ma anche per conquistare l’accesso alle reti e alle risorse aziendali.
Come avviene in generale per il malware, i ladri di password usano diversi metodi di diffusione, la maggior parte dei quali si basa su email contenenti allegati o URL. Poiché è molto più semplice ed economico individuare gli allegati malevoli sul mail server piuttosto che sul computer dell’utente, i malviventi sfruttano diversi tipi di file e metodi di distribuzione per cercare di aggirare questi sistemi di sicurezza, in particolare i metodi più ingenui come il blocco totale di certi tipi di file. Per aggirare i blocchi file compressi con uno dei molti formati di archiviazione, talvolta usano estensioni fasulle che permettono l’apertura dei file nel formato di archiviazione desiderato.
Un sistema spesso utilizzato consiste nell’impiegare tipi di file fidati per aggirare i controlli a livello del server, e che poi liberano il malware quando l’utente esegue il file. Documenti Word ed Excel contenenti macro che scaricano il codice “rubapassword” sono piuttosto comuni e più difficili da individuare rispetto all’invio del malware puro e semplice. L’inconveniente è che la macro deve essere lanciata dall’utente finale, ma qui intervengono tecniche di social engineering che mirano a convincere l’utente ad agire.
