HP Threat Insights Report: gli attaccanti utilizzano software affidabile, malware mascherato ed esche credibili per accedere ai dispositivi degli utenti.
La ricerca evidenzia una sfida crescente sia per gli utenti che per i difensori, poiché le attività malevole diventano sempre più difficili da distinguere da comportamenti legittimi.
Il rapporto fornisce un’analisi degli attacchi informatici reali, aiutando le organizzazioni a tenere il passo con le ultime tecniche che i criminali informatici utilizzano per eludere la rilevazione e violare i PC in un panorama della criminalità informatica in rapida evoluzione. Basandosi sui milioni di endpoint che utilizzano HP Wolf Security, le campagne di rilievo identificate dai ricercatori delle minacce HP Wolf Security includono:
Strumenti legittimi di accesso remoto abusati per l’accesso backdoor
I criminali informatici stanno abusando di applicazioni come LogMeIn e ScreenConnect per prendere il controllo dei dispositivi delle vittime senza destare sospetti. Le campagne hanno inizialmente utilizzato e-mail di phishing di fine anno fiscale e falsi download di app desktop – inclusi siti di incontri – per poi convincere gli utenti a installare strumenti di accesso remoto legittimi. Questi strumenti sono controllati dagli attaccanti e li aiutano a integrarsi con la normale attività IT, dando il controllo totale sui dispositivi utente.
Attaccanti che si approfittano di utenti disperati che cercano di recuperare portafogli crypto persi: Strumenti di recupero dei portafogli crypto falsi vengono diffusi da parte di attaccanti che affermano di aiutare gli utenti a trovare portafogli persi ma in realtà li rubano. Spesso condivisi tramite piattaforme di code-sharing e siti di download multimedia, gli script infostealer pieni di emoji sembrano essere “vibe-coded”, capaci di raccogliere credenziali, wallet e dati di sistema prima di impacchettarli in file d’archivio per l’esfiltrazione.
Le campagne ClickFix
Esse nascondono malware in file ‘audio’: gli attaccanti dietro le recenti campagne ClickFix stanno mascherando il malware da file audio per eludere il rilevamento. Le vittime vengono guidate attraverso prompt CAPTCHA realistici su siti web falsi ben progettati, che attivano comandi dannosi che esegueno silenziosamente payload camuffati in background.
Patrick Schläpfer, Principal Threat Researcher di HP Security Lab, commenta: “Ciò che colpisce in queste campagne è quanto facilmente gli strumenti legittimi di accesso remoto vengano trasformati in punti di ingresso per gli attaccanti. Combinando software affidabile con ingegneria sociale accuratamente progettata – legata a eventi come la fine dell’anno fiscale – sta diventando ancora più difficile distinguere cosa si possa e cosa no.”
Isolando minacce che sono sfuggite agli strumenti di rilevamento sui PC – ma permettendo comunque al malware di detonare in sicurezza all’interno di container protetti – HP Wolf Security ha una visione delle tecniche più recenti utilizzate dai cybercriminali. Ad oggi, i clienti HP Wolf Security hanno cliccato su oltre 60 miliardi di allegati e-mail, pagine web e file scaricati senza alcuna violazione segnalata.
I cybercriminali diversificano i metodi di attacco
Almeno l’11% delle minacce e-mail identificate da HP Sure Click ha bypassato uno o più scanner di gateway e-mail.
I file eseguibili sono stati il tipo di consegna malware più popolare (39%), seguiti dai file archivio (38%) e dai documenti PDF (10%).
Il malware basato su PDF è aumentato del 2%, con gli attaccanti che utilizzano una vasta gamma di esche come documenti giudiziari e bonus per creare urgenza e stimolare i clic.
Alex Holland, Principal Threat Researcher, HP Security Lab, commenta: “Questi attacchi non sembrano effrazioni – sembrano business as usual, che si confondono con la normale attività IT ed evitano i segnali di allarme associati al malware. Per garantire il futuro del lavoro e ridurre i rischi, le organizzazioni dovrebbero limitare privilegi inutili, controllare l’installazione di software e isolare attività rischiose come download e link sconosciuti. La sola rilevazione non basta quando strumenti legittimi vengono trasformati in porte sul retro.”
