Il Global Research and Analysis Team di Kaspersky Lab ha scoperto alcuni attacchi che sembrano usare un exploit zero-day (un programma dannoso che consente a ulteriori malware di essere installati senza che vengano notati) per l’editor di testo InPage.
InPage è un pacchetto software usato da persone e organizzazioni in tutto il mondo che parlano urdu e arabo. L’exploit è stato usato in attacchi contro le banche in diversi Paesi asiatici e africani.
InPage è ampiamente usato dai media e dai centri stampa, così come dalle istituzioni governative e finanziarie, come le banche che lavorano con testi scritti in alfabeto perso-arabico. Secondo il sito di InPage, oltre a India e Pakistan, dove il software è molto utilizzato, ci sono migliaia di utenti in altri Paesi quali Regno Unito, Stati Uniti, Canada, numerosi Paesi in Europa, Sudafrica, Bangladesh, Giappone e altri territori. Il numero totale di utenti InPage è quasi di 2 milioni a livello mondiale.
Le organizzazioni attaccate identificate dai ricercatori di Kaspersky Lab si trovano in Myanmar, Sri-Lanka e Uganda.
L’exploit viene inviato alla vittima tramite email di spear-phishing con allegato un documento infetto. Se lo sfruttamento della vulnerabilità ha successo, il malware si mette in contatto con il server di comando e controllo e scarica tool legittimi di accesso da remoto. In alcuni casi scarica malware basati sul codice sorgente del famigerato trojan bancario ZeuS. Questo set di strumenti è tipico dei cyber criminali finanziari.
Lo specifico set di tool nocivi scaricati sulla macchina infettata cambia da vittima a vittima, così come i server di comando e controllo da cui vengono scaricati i tool dannosi. Questa e numerose altre scoperte hanno portato i ricercatori di Kaspersky Lab a ritenere che lo zero-day venga utilizzato da diversi gruppi criminali.
Zero-day localizzati
Non è la prima volta che vediamo software “locali” specifici usati per infettare le vittime durante cyber attacchi. Nel 2013, i ricercatori di Kaspersky Lab hanno osservato tattiche simili negli attacchi attribuiti alla campagna Icefog. In quell’occasione, gli hacker hanno usato documenti HWP dannosi creati per lavorare con Hangul Word Processor, un’applicazione proprietaria di elaborazione di testi molto usata in Corea del Sud.
“Lo sfruttamento delle vulnerabilità in software specifici con una presenza globale relativamente ridotta e un pubblico ristretto è una tattica semplice da capire. Gli hacker modificano le proprie tattiche in base al comportamento delle vittime, sviluppando exploit per software personalizzati che non sempre ricevono il tipo di controlli che le grandi aziende di software applicano ai propri prodotti. Dal momento che i software locali non sono un target comune degli sviluppatori di exploit, i vendor non sono molto reattivi alle segnalazioni di vulnerabilità e gli exploit esistenti rimangono utilizzabili per un lungo periodo”, ha commentato Denis Legezo, esperto di sicurezza del GReAT team di Kaspersky Lab.
Grazie a un’ampia gamma di tecnologie, gli utenti delle soluzioni di Kaspersky Lab sono protetti da questi attacchi già da molto tempo – e la protezione ha funzionato bene nel bloccare numerosi documenti InPage dannosi. I prodotti di Kaspersky Lab rilevano l’exploit InPage con il seguente nome: HEUR:Exploit.Win32.Generic.
I ricercatori di Kaspersky Lab non sono ancora a conoscenza di effettivi incidenti che coinvolgono il furto di denaro come risultato di un’infezione attraverso l’exploit InPage. Tuttavia, questo non significa che tali attacchi non stiano accadendo. Perciò, gli specialisti di sicurezza suggeriscono alle organizzazioni finanziarie di controllare i propri sistemi alla ricerca di queste minacce e di implementare le seguenti contromisure:
- Assicurarsi di avere una suite di sicurezza Internet a livello aziendale in grado di bloccare gli exploit, come Kaspersky Endopoint Security for Business.
- Informare lo staff dell’importanza di non aprire allegati o cliccare su URL contenuti in email provenienti da fonti sconosciute.
- Usare le versioni più recenti dei software installati sui dispositivi endpoint dell’azienda. Evitare di utilizzare software riconosciuti come vulnerabili. Per automatizzare queste operazioni usare soluzioni di Vulnerability Assessment e Patch Management.
- Iscriversi a un servizio professionale di intelligence sulle minacce, come il servizio di reporting sulle APT di Kaspersky Lab, per avere accesso immediato a informazioni operative sui più recenti cyber attacchi che potrebbero prendere di mira un’azienda.
- Formare lo staff sulle tematiche della cyber sicurezza. Il campione di malware che ha permesso la scoperta dell’exploit è stato trovato grazie all’aiuto di Yara Rules appositamente create. È necessario investire nella formazione dello staff di sicurezza in modo che siano in grado di fare altrettanto in autonomia e, di conseguenza, di proteggere l’azienda da sofisticati attacchi mirati.
