NUOVE MINACCE

Il malware si nasconde nei siti legittimi per lanciare attacchi phishing: cosa significa e come difendersi

Exploit della suite Office ed SQL injection continuano ad essere le tecniche di attacco preferite dai criminal hacker, ma la nuova tendenza è quella di nascondere i malware nei siti legittimi per aumentarne la diffusione: è quanto si evince dall’ultimo rapporto WatchGuard, che mette l’Italia tra i paesi più colpiti da attacchi informatici sempre più raffinati

26 Set 2019

Un significativo aumento anno su anno del volume complessivo di malware: +64% rispetto al 2018. È il dato impressionante che emerge dall’ultimo Internet Security Report appena pubblicato da WatchGuard Technologies.

Dietro i freddi numeri delle statistiche, però, si nascondono ben altri e più preoccupanti risultati che evidenziano l’evoluzione delle minacce informatiche utilizzate dai criminal hacker per confezionare cyber attacchi sempre più raffinati e mirati su obiettivi ben precisi localizzati soprattutto in Europa: quasi il 37% del malware, infatti, ha colpito la regione EMEA, con molti attacchi che si sono focalizzati soprattutto su Regno Unito, Italia, Germania e Mauritius.

Il malware si nasconde nei siti legittimi

Il report, in particolare, rivela e classifica i domini più comuni che gli attaccanti usano per ospitare malware e lanciare attacchi phishing. La novità è che sempre più spesso i criminal hacker sfruttano numerosi sottodomini di siti legittimi e di Content Delivery Networks (CDN) per nascondere i loro codici malevoli e allo stesso tempo garantirne alti livelli di diffusione.

Ricordiamo che per Content Delivery Network (letteralmente: rete per la consegna di contenuti) si intende una rete di server centrali e computer connessi tra di loro attraverso la rete Internet e utilizzati per distribuire in tutto il mondo file e dati di grandi dimensioni, in particolar modo contenuti video in streaming.

I ricercatori di WatchGuard hanno scoperto che tra i siti e i CDN più “sfruttati” dai criminal hacker risultano grandi nomi del calibro di CloudFlare, SharePoint e Amazon AWS. Molti dei servizi online che utilizziamo quotidianamente su Internet funzionano, ad esempio, grazie all’infrastruttura cloud offerta da Amazon Web Services: ecco perché la scoperta di questa nuova tendenza criminale è più di un semplice campanello di allarme per tutti gli addetti ai lavori nel campo della cyber security.

“Questa edizione dell’Internet Security Report illustra nel dettaglio i modi utilizzati dagli hacker per inserire malware o e-mail di phishing nelle reti nascondendoli in domini di content hosting legittimi”, ha dichiarato Corey Nachreiner, Chief Technology Officer di WatchGuard Technologies. “Fortunatamente ci sono molti modi per difendersi da tutto ciò, tra cui il filtraggio a livello DNS per bloccare le connessioni verso siti malevoli noti, servizi antimalware avanzati, autenticazione multi-fattore per prevenire attacchi che sfruttano credenziali compromesse, e formazione per aiutare i dipendenti a riconoscere e-mail di phishing. Nessuna difesa riuscirà a prevenire ogni attacco, quindi il modo migliore per le organizzazioni per proteggere sé stesse è affidarsi a una piattaforma di sicurezza unificata che offra molteplici servizi di sicurezza a livelli”.

Gli strumenti dei criminal hacker

Il report pubblicato da WatchGuard punta i riflettori anche su un’altra nuova tendenza del crimine informatico. Per la prima volta in assoluto, due moduli del noto sistema operativo di hacking Kali Linux compaiono nella top ten (rispettivamente al sesto e al settimo posto) di WatchGuard dei malware più comuni. Si tratta di Trojan.GenericKD, una famiglia di malware che crea una backdoor su un server command-and-control, e Backdoor.Small.DT, uno script Shell utilizzato in genere per creare backdoor su web server.

WEBINAR
DataOps, Cloud e AI: un approfondimento con gli esperti
Cloud
Hybrid cloud

Ciò potrebbe indicare, secondo i ricercatori, un crescente utilizzo di queste minacce “pronte all’uso” da parte di attori malintenzionati. Ma anche una maggiore attività di penetration testing da parte di white hat hacker che, appunto, usano la distribuzione Kali Linux per compiere il loro lavoro.

Vecchie tecniche per nuovi attacchi

Dall’analisi dell’Internet Security Report si evince, inoltre, che due codici di malware (un attacco phishing che minaccia le vittime di rilasciare informazioni false compromettenti e un exploit Microsoft Office) apparsi nella lista dei malware più diffusi nel primo trimestre del 2019 e nell’ultimo trimestre del 2018 sono entrati nella top ten per volume di diffusione.

Ciò dimostra che queste campagne sono in crescita e che stanno inviando un elevato volume di attacchi a una vasta gamma di obiettivi.

Il consiglio, in questi casi, è quello di tenere sempre aggiornata la suite Office e investire in soluzioni anti-phishing e di DNS filtering.

Tra gli attacchi di rete, invece, la tecnica di SQL injection continua ad essere la più utilizzata dai criminal hacker. Gli attacchi di questo genere, infatti, hanno rappresentato il 34% di tutti gli attacchi di rete rilevati in Q2 2019 e sono aumentati in modo significativo in volume anno su anno.

È importante, quindi, che chiunque mantenga un database SQL o un web server con accesso a un database SQL, applichi regolarmente le patch di sicurezza e investa in un firewall specifico per le applicazioni web.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2