Malware

Due allegati HTML su 10 sono malevoli: come proteggersi

Gli allegati HTML malevoli sono sempre più diffusi. Se ne approfittano le campagne malspam per compiere attività fraudolente. Ecco come evitare questi pericoli sfruttando machine learning e l’analisi del codice malevolo

12 Lug 2022
C
Mirella Castigli

Giornalista

Circa il 20% degli allegati HTML sono malevoli. Lo riporta Barracuda Networks che ha scansionato milioni di allegati nell’arco dell’ultimo mese per identificare quelli con maggiore probabilità di essere pericolosi.

“I risultati della ricerca condotta da Barracuda Networks”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “ha rivelato che circa un allegato HTML su 5 risulta esser malevolo. Ciò dimostra il fatto che molte delle campagne malspam che osserviamo utilizzano questa tipologia di allegati per attività fraudolente”.

Allegati HTML sempre più usati per il malspam

Barracuda Networks ha rilevato che ben il 21% di tutti gli allegati HTML scansionati rientrava nella categoria degli allegati HTML usati a fini malevoli.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

“Gli allegati HTML sono un eccellente vettore per varie tipologie di minacce”, mette in guardia Paganini: “essi possono essere preparati per contenere link malevoli a pagine di phishing o persino per includere direttamente form per la raccolta di dati utenti”.

Gli utenti spesso ricevono email con report che contengono link al loro interno. I cyber criminali includono dunque allegati HTML in messaggi di posta elettronica confezionate ad arte per apparire come report settimanali, invitando gli utenti a cliccare su quello che è in realtà un link di phishing.

Inoltre, “questi allegati sfuggono spesso alle soluzioni di difesa perché utilizzano complesse catene di reindirizzamento“, sottolinea l’esperto di cyber security. “Significa che basta aprire l’allegato per reindirizzare l’utente – attraverso numerosi domini – alla pagina finale di phishing. O ad una pagina che chiede loro di scaricare un allegato malevolo”.

Infatti, individuare questi attacchi non è semplice, dal momento che gli allegati HTML non sono in sé malevoli, ma il malware è nell’allegato. Sono i diversi redirect con librerie di script Java ospitate altrove ad innescare la minacia.

I file HTML sfruttano dunque uno script Java per reindirizzare l’utente su una macchina diversa, dove inserire le proprie credenziali per accedere alle informazioni o scaricare un file che potrebbe contenere un malware.

Altre volte gli hacker non devono realizzare un sito fake. Per esempio, basta loro creare un form di phishing inglobato direttamente nell’allegato: anziché i link inviano come allegato il sito di phishing.

Come proteggersi

“Un efficiente sistema di difesa”, conclude Paganini, “dovrebbe analizzare l’intera catena di reindirizzamenti alla ricerca di attività potenzialmente malevole”.

Infatti, è sufficiente esaminare la mail completa di allegati, analizzando tutti i redirect e il contenuto dell’email, per trovare eventuali intenzioni malevole.

Il sistema di protezione dell’email deve dunque scansionare e bloccare gli allegati HTML pericolosi, sfruttando il machine learning e l’analisi del codice statico per valutare l’intero contenuto dell’email (e non solo gli allegati) ed evitare falsi positivi.

Inoltre, in azienda bisogna prevedere campagne di formazione per la simulazione di attacchi phishing al fine di educare gli utenti alla consapevolezza: devono imparare a identificare e riferire allegati HTML potenzialmente pericolosi. Strumenti di remediation pronti, infine, evitano che il rischio si tramuti in un disastro: bisogna identificare e rimuovere rapidamente tutte le mail malevole da tutte le caselle email, se per caso l’email malevola raggiunge l’obiettivo. Infatti, un sistema di risposta automatica agli incidenti permette di fermare l’attacco prima che si diffonda nell’organizzazione. Invece, un sistema di protezione dall’account takeover può mettere le attività sospette sotto la lente, lanciando allarmi se le credenziali di login subiscono una compromessiono.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5