McAfee Labs, sotto la lente le minacce fileless che sfruttano PowerShell

CyberwarSicurezza
I costi miliardari del cyber-crimine

Picchi di malware dovuti alla capacità dei criminali informatici di sfruttare le vulnerabilità di Microsoft Office, le minacce fileless su PowerShell, trojan bancari, e ransomware, hanno caratterizzato la fine del 2017. Patch in ritardo e scarsa attenzione per il phishing tra le cause

Il 2017 si è chiuso con un’impennata degli attacchi che sfruttano le vulnerabilità di Microsoft Office, le minacce fileless basate su PowerShell (+119 percento), il ransomware Locky “Lutikus”, e i trojan bancari, sulla base dei quali i Labs McAfee hanno registrato quattro nuovi campioni di malware al secondo.

McAfee Labs Infografica Malware complessivo
McAfee Labs Infografica Malware complessivo

Nel complesso è da record il volume dei nuovi malware in crescita del 10 percento nel terzo trimestre 2017, con 57,6 milioni di campioni e nuove tipologie di malware mobile che è aumentato del 60 percento rispetto al secondo trimestre, in gran parte a causa di una rapida crescita del malware di blocco dello schermo Android. McAfee segnala che il malware mobile totale ha continuato a crescere per raggiungere 21,1 milioni di campioni.

McAfee Global Threat Intelligence - Infografica
McAfee Global Threat Intelligence – Infografica

In linea con il dogma per cui una minaccia in grado di colpire un maggior numero di obiettivi si può rivelare più vantaggiosa per l’attaccante ecco che quelle per lo sfruttamento delle vulnerabilità Microsoft sono state molto elevate nonostante il fatto che il fornitore della piattaforma abbia affrontato questo problema rendendo disponibili le patch già nel primo trimestre dell’anno.

Come preannunciato gli aggressori continuano a trarre beneficio dalle capacità dinamiche e benigne delle piattaforme tecnologiche come PowerShell, ma anche dall’avventatezza dimostrata dalle vittime del phishing. Per il primo ambito le minacce senza file hanno continuato a rappresentare una preoccupazione crescente nel corso del terzo trimestre, con un aumento del 119 percento del malware PowerShell.

In questa categoria è da collocare il trojan bancario Emotet, che si è diffuso globalmente attraverso grandi campagne di spam, e ha spinto gli utenti a effettuare download di documenti Microsoft Word compromessi che attivavano una macro PowerShell che scaricava e installava il malware sui loro sistemi.

McAfee Labs - Infografica nuovo malware e malware totale
McAfee Labs – Infografica nuovo malware e malware totale

Capita anche che utilizzando funzionalità “benigne” di applicazioni fidate o ottenendo l’accesso a strumenti nativi dei sistemi operativi come PowerShell o JavaScript, gli aggressori riescano a prendere il controllo dei computer senza che sia necessario scaricare alcun file eseguibile, almeno nelle fasi iniziali dell’attacco.

Da un lato quindi i ritardi delle aziende nell’installazione delle patch, dall’altro individui e aziende poco sensibili a questa lotta e a modificare l’approccio impulsivo nel trattare i messaggi (Phishing) rappresentano ad oggi due rischi concreti.

Al punto che il team McAfee Advanced Threat Research sottolinea come nel 2017 DragonFly 2.0 abbia rappresentato una vera piaga. Si tratta del malware scoperto a inizio anno che ha iniziato a colpire le aziende nel settore energia e ha preso poi di mira anche aziende in altri settori, tra cui industrie farmaceutiche, servizi finanziari e di contabilità. Questi attacchi sono stati avviati attraverso email di spear-phishing, inducendo i destinatari a cliccare sui link da cui vengono scaricati i trojan che forniscono agli aggressori l’accesso alla rete. 

Nello specifico, il terzo trimestre del 2017 ha visto i cybercriminali continuare a sfruttare vulnerabilità di Microsoft Office, come CVE-2017-0199, che ha approfittato di una vulnerabilità sia all’interno di Microsoft Office che di WordPad per consentire l’esecuzione remota del codice dannoso attraverso file appositamente creati. Per eseguire quest’attacco, molti hanno approfittato di uno strumento disponibile tramite GitHub, un percorso facile per creare un attacco backdoor senza configurazioni complesse.

Si sono diffuse inoltre nuove varianti del trojan bancario Trickbot che presentavano codice con l’exploit EternalBlue, già componente nocivo in ransomware come WannaCry e NotPetya del secondo trimestre. Nonostante i continui sforzi di Microsoft per contrastare EternalBlue con patch di sicurezza, i nuovi autori del trojan Trickbot hanno sfruttato la tecnica collaudata e ancora efficace, combinandola con nuove funzionalità come il furto di valuta criptocurrency, e hanno ideato nuovi metodi di consegna, rendendo queste nuove versioni di Trickbot i trojan bancari più attivi nel terzo trimestre.

Una minaccia che si dimostri funzionale in un attacco è pericolosa poi due volte perché diventa un modello per i malintenzionati che sfruttano poi la minaccia per generare altro malware. 

 

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore