Potrebbe trattarsi di un operatore o gruppo di minacce collegato al regime islamico iraniano l’autore di una nuova campagna malevola che, grazie allo sfruttamento della vulnerabilità CVE-2021-40444 (già ampiamente analizzata da Shadow Chaser Group e affrontata da Microsoft in occasione degli aggiornamenti del Patch Tuesday dello scorso settembre), sta rubando credenziali Google e Instagram a utenti in tutto il mondo usando un nuovo infostealer basato su PowerShell.
Lo script malevolo è composto da 150 righe di codice e consente agli aggressori di esfiltrare alla vittima molte altre informazioni riservate tra cui schermate del desktop, file di Telegram, raccolte di documenti e dati estesi sul sistema compromesso.
Indice degli argomenti
I dettagli della vulnerabilità
Lo sfruttamento della vulnerabilità CVE-2021-40444, storicizzato come inizio a luglio 2021 ma individuato solo a settembre, è un difetto di sicurezza di tipo RCE (Remote Code Execution, esecuzione di codice remoto) che poteva essere sfruttato utilizzando documenti di Microsoft Office appositamente predisposti.
In particolare, il difetto di sicurezza è stato identificato nel componente Microsoft MSHTML (nome in codice: Trident), il motore di rendering delle pagine Web utilizzato in Internet Explorer.
Il browser, come sappiamo, è stato ormai dismesso e Microsoft ha interrotto anche il supporto tecnico, ma il motore di rendering Trident viene ancora adesso utilizzato anche nelle ultime versioni della suite Office per riprodurre eventuali contenuti Web all’interno di documenti Word, Excel e PowerPoint e questo rende particolarmente pericoloso lo sfruttamento della vulnerabilità.
Una gran parte degli attacchi che sono stati monitorati dai ricercatori sono indirizzati con campagne di phishing via e-mail verso obiettivi localizzati negli Stati Uniti, ma Malwarebytes ha motivo di ritenere che la vulnerabilità MSHTML sia stata utilizzata per colpire anche enti russi (i ricercatori hanno infatti intercettato allegati di posta elettronica destinati specificamente a organizzazioni russe come il reparto risorse umane di JSC GREC Makeyev, holding strategica del settore missilistico e difesa del paese) e la particolare tecnica malevola potrebbe presto essere allargata ad altri target in tutto il mondo.
Come avviene l’attacco?
Come già fatto notare, il primo contatto con l’obiettivo vittima avviene via e-mail: tramite tecniche di phishing si porta l’utente ad aprire un allegato sotto forma di file Microsoft Word. L’apertura del file attiva lo script PowerShell chiamato “PowerShortShell” che può spostare le informazioni sensibili e inviarle al server Command and Control (C2).
Dalle ultime attività di monitoraggio è emerso che il server C2 è stato utilizzato dopo che Microsoft ha rilasciato l’aggiornamento correttivo della vulnerabilità, con lo scopo mirato di rubare le credenziali di accesso Gmail e Instagram delle vittime.
Il livello di gravità della vulnerabilità è 8.8 su 10.0 (CVSSv3).
Soluzioni di mitigazione del rischio
La prima raccomandazione di mitigazione dell’attacco, pubblicata da Microsoft in occasione del Patch Tuesday di settembre contenente la correzione della vulnerabilità, avrebbe dovuto funzionare bloccando le anteprime dei documenti in Explorer e nei controlli ActiveX.
Tuttavia, sia i ricercatori che gli attori delle minacce hanno dimostrato come aggirare la mitigazione modificando l’exploit senza utilizzare il controllo ActiveX. Non c’è altro modo e non c’è alcun motivo per non farlo, se non aggiornare il sistema con l’apposita patch di Microsoft per proteggere la propria infrastruttura da questo genere di attacchi.
Rimane invece sempre valida la raccomandazione che spinge le organizzazioni verso un’educazione digitale di tutto il personale in servizio per metterlo in condizioni di riconoscere un’e-mail lecita da un potenziale phishing (confrontando il mittente, sapendo leggere gli header del messaggio di posta elettronica al primo sospetto ecc.).
Senza il successo di un’e-mail di phishing, attacchi di questo genere non possono portare a segno il loro obiettivo: risulta quindi di essenziale importanza conoscere questo pericolo, in tutta la filiera lavorativa, di qualsiasi settore produttivo (al giorno d’oggi evidentemente informatizzato).