Sulla base della telemetria avanzata di Proofpoint, che analizza miliardi di messaggi al giorno, i suoi ricercatori hanno osservato una diffusa sperimentazione da parte degli attori delle minacce nell’invio di payload malware grazie all’utilizzo di vecchie tipologie di file, catene di attacco inattese e una varietà di tecniche che portano a infezioni, incluso il ransomware. Nell’ultimo anno l’ecosistema del cybercrime ha registrato un significativo cambiamento in termini di attività e comportamento delle minacce. I criminali informatici motivati finanziariamente che ottengono un accesso iniziale tramite e-mail non utilizzano più catene di attacco statiche e prevedibili, ma tecniche dinamiche e in rapida evoluzione. Questo cambiamento è in gran parte dovuto alla decisione di Microsoft di bloccare le macro come impostazione predefinita, costringendo gli attaccanti a cambiare il modo in cui conducono le loro attività.
I principali cambiamenti dell’ecosistema del cybercrime
Proofpoint ha esaminato i principali cambiamenti del panorama e le tattiche, tecniche e procedure (TTP) comuni adottate recentemente all’interno dell’ecosistema del cybercrime. Gli attori delle minacce continuano a testare vari comportamenti per determinare il metodo più efficace al fine di ottenere l’accesso iniziale tramite e-mail. Non esiste una tecnica affidabile e coerente, adottata nell’intero panorama delle minacce. I cybercriminali seguono i leader: se un gruppo adotta una nuova tecnica, nelle settimane o nei mesi successivi, i ricercatori ne osservano l’utilizzo da parte di altri.
Proteggiti con Bitdefender, Leader in Cybersecurity
Prima del 2022, la scelta principale dei criminali informatici come payload di accesso iniziale erano indubbiamente le macro, utilizzate per eseguire automaticamente contenuti dannosi quando un utente le aveva abilitate attivamente nelle applicazioni di Office. Le macro XL4 sono specifiche dell’applicazione Excel, ma possono essere utilizzate come armi: gli attori delle minacce che distribuiscono documenti abilitati alle macro si affidano al social engineering per convincere il destinatario che il contenuto sia importante e per visualizzarlo è necessario abilitare le macro.
Il contrabbando di HTML e l’esplosione di OneNote
Da giugno 2022, l’uso dell’HTML smuggling è aumentato notevolmente nei dati delle campagne di Proofpoint. L’evoluzione è però ciclica: dopo aver raggiunto il picco nell’ottobre 2022, l’uso di questa tecnica è diminuito leggermente prima di riprendere nel febbraio 2023. La tecnica di HTML smuggling nasconde uno script codificato all’interno di un allegato HTML. Quando viene aperto, il browser decodifica lo script dannoso che viene utilizzato per assemblare il payload del malware sul computer della vittima. Nel corso degli anni, Proofpoint ha poi osservato l’uso di file PDF da parte di vari attori delle minacce, che includono un URL per avviare la catena di attacco.
Un esempio importante del fenomeno follow the leader è iniziato nel dicembre 2022, quando i ricercatori di Proofpoint hanno osservato per la prima volta campagne non attribuite che utilizzavano documenti OneNote per distribuire malware, in particolare AsyncRAT. OneNote è un taccuino digitale creato da Microsoft e disponibile nella suite Microsoft 365. Proofpoint ha osservato che gli attori delle minacce consegnano il malware attraverso documenti OneNote con estensione .one, tramite allegati e-mail e URL. A gennaio 2023, hanno osservato decine di campagne malware di base non attribuite che utilizzavano le stesse TTP. Nel giro di pochi mesi, erano oltre 120 le campagne che sfruttavano i file OneNote.
I cybercriminali continueranno a sperimentare nuovi metodi di consegna del payload
La sperimentazione e il passaggio regolare a nuove tecniche di consegna del payload da parte degli attori delle minacce rintracciati è molto diversa rispetto alle catene di attacco osservate prima del 2022 e preannuncia una nuova normalità dell’attività. I criminali più esperti non si affidano più a una o poche tecniche, ma sviluppano e iterano frequentemente nuove modalità, con una rapidità che suggerisce che hanno tempo, capacità e comprensione del panorama delle minacce per svilupparle ed eseguirle rapidamente. Questi cambiamenti hanno un impatto anche sui difensori.
Il rapido ritmo di adozione delle TTP costringe i cacciatori di minacce, gli specialisti del rilevamento e gli analisti malware a identificare rapidamente le tendenze nel comportamento degli attori e creare nuove difese per proteggersi. Proofpoint prevede che gli attori delle minacce continueranno a sperimentare nuovi metodi di consegna del payload e, sebbene molti criminali informatici utilizzino le stesse TTP per settimane o mesi alla volta, è improbabile che vi sia una singola catena di attacchi o una serie di tecniche che rimangano coerenti o abbiano la stessa forza di resistenza degli allegati abilitati alle macro.