Il crimine non si ferma mai: come cambia e si evolve l’ecosistema del cybercrime
Joe Wise, Selena Larson e il threat research team di Proofpoint analizzano le più recenti evoluzioni nel comportamento dei cybercriminali. Cambiano le modalità di attacco ed emergono nuove tecniche di distribuzione del malware.
Nell’ultimo anno l’ecosistema del crimine informatico ha registrato un significativo cambiamento in termini di attività e comportamento delle minacce. I cybercriminali motivati finanziariamente che ottengono un accesso iniziale tramite e-mail non utilizzano più catene di attacco statiche e prevedibili, ma tecniche dinamiche e in rapida evoluzione.
Questo cambiamento è in gran parte dovuto alla decisione di Microsoft di bloccare le macro come impostazione predefinita, costringendo gli attaccanti a cambiare il modo in cui conducono le loro attività.
Sulla base della telemetria avanzata di Proofpoint, che analizza miliardi di messaggi al giorno, i suoi ricercatori hanno osservato una diffusa sperimentazione da parte degli attori delle minacce nell’invio di payload malware grazie all’utilizzo di vecchie tipologie di file, catene di attacco inattese e una varietà di tecniche che portano a infezioni, incluso il ransomware.
Questa attività dimostra che:
- Gli attori delle minacce continuano a testare vari comportamenti per determinare il metodo più efficace al fine di ottenere l’accesso iniziale tramite e-mail. Non esiste una tecnica affidabile e coerente, adottata nell’intero panorama delle minacce.
- I cybercriminali seguono i leader. Se un gruppo adotta una nuova tecnica, nelle settimane o nei mesi successivi, i ricercatori ne osservano l’utilizzo da parte di altri.
- Alcuni attori più sofisticati hanno il tempo e le risorse per sviluppare, iterare e testare differenti tecniche di distribuzione del malware.
In questo report, Proofpoint esaminerà i principali cambiamenti del panorama e le tattiche, tecniche e procedure (TTP) comuni adottate da una serie di attori delle minacce.
Inizia il cambiamento
Prima del 2022, la scelta principale dei criminali informatici come payload di accesso iniziale erano indubbiamente le macro, utilizzate per eseguire automaticamente contenuti dannosi quando un utente le aveva abilitate attivamente nelle applicazioni di Office. Le macro XL4 sono specifiche dell’applicazione Excel, ma possono essere utilizzate come armi: gli attori delle minacce che distribuiscono documenti abilitati alle macro si affidano al social engineering per convincere il destinatario che il contenuto sia importante e per visualizzarlo è necessario abilitare le macro.
Contrabbando di HTML
Da giugno 2022, l’uso dell’HTML smuggling è aumentato notevolmente nei dati delle campagne di Proofpoint. L’evoluzione è però ciclica: dopo aver raggiunto il picco nell’ottobre 2022, l’uso di questa tecnica è diminuito leggermente prima di riprendere nel febbraio 2023. La tecnica di HTML smuggling “nasconde” uno script codificato all’interno di un allegato HTML. Quando viene aperto, il browser decodifica lo script dannoso che viene utilizzato per assemblare il payload del malware sul computer della vittima.
Uso dei PDF
Nel corso degli anni, Proofpoint ha osservato l’uso di file PDF da parte di vari attori delle minacce, che includono un URL per avviare la catena di attacco.
Esplosione di OneNote
Un esempio importante del fenomeno “follow the leader” è iniziato nel dicembre 2022, quando i ricercatori di Proofpoint hanno osservato per la prima volta campagne non attribuite che utilizzavano documenti OneNote per distribuire malware, in particolare AsyncRAT. OneNote è un taccuino digitale creato da Microsoft e disponibile nella suite Microsoft 365. Proofpoint ha osservato che gli attori delle minacce consegnano il malware attraverso documenti OneNote conestensione .one, tramite allegati e-mail e URL. A gennaio 2023, hanno osservato decine di campagne malware di base non attribuite che utilizzavano le stesse TTP. Nel giro di pochi mesi, erano oltre 120 le campagne che sfruttavano i file OneNote.
Conclusione
La sperimentazione e il passaggio regolare a nuove tecniche di consegna del payload da parte degli attori delle minacce rintracciati è molto diversa rispetto alle catene di attacco osservate prima del 2022 e preannuncia una nuova normalità dell’attività. I criminali più esperti non si affidano più a una o poche tecniche, ma sviluppano e iterano frequentemente nuove modalità, con una rapidità che suggerisce che hanno tempo, capacità e comprensione del panorama delle minacce per svilupparle ed eseguirle rapidamente
Questi cambiamenti hanno un impatto anche sui difensori. Il rapido ritmo di adozione delle TTP costringe i cacciatori di minacce, gli specialisti del rilevamento e gli analisti malware a identificare rapidamente le tendenze nel comportamento degli attori e creare nuove difese per proteggersi.
Proofpoint prevede che gli attori delle minacce continueranno a sperimentare nuovi metodi di consegna del payload e, sebbene molti criminali informatici utilizzino le stesse TTP per settimane o mesi alla volta, è improbabile che vi sia una singola catena di attacchi o una serie di tecniche che rimangano coerenti o abbiano la stessa forza di resistenza degli allegati abilitati alle macro.