Lo scorso 31 Ottobre 2022 è stata resa disponibile una patch non ufficiale riguardante una falla di sicurezza in Microsoft Windows che ha consentito ai file firmati (attraverso firme non corrette) di aggirare le protezioni Microsoft Window Mark-of-the-Web ( MotW ).
Cos’è Microsoft Window Mark-of-the-Web ( MotW )
In Microsoft Windows, il Marchio del Web (MOTW) è un commento che può essere aggiunto ai file HTML per indicare che il file proviene da Internet e deve essere trattato come potenzialmente non sicuro. Il commento MOTW può essere aggiunto all’inizio di un file HTML come questo:
Quando un browser Web apre un file HTML con il commento MOTW, potrebbe visualizzare un avviso di sicurezza per l’utente, indicando che il file proviene da Internet e potrebbe essere potenzialmente pericoloso. Il commento MOTW viene utilizzato per proteggere gli utenti da contenuti potenzialmente dannosi che possono essere scaricati da Internet. In genere si consiglia di includere il commento MOTW nei file HTML salvati da Internet e aperti localmente su un computer.
La correzione del bug rilasciata da 0patch, è stata rilasciata dopo una settimana in cui HP Wolf Security ha avvertito del nuovo attacco ransomware Magniber che sfrutta falsi aggiornamenti di sicurezza per diffondere un file JavaScript che contiene un malware di crittografia dei file.
Nuovo attacco BlueNoroff sottocluster del famigerato Lazarus Group a Windows Mark of the Web
Nonostante le misure di protezione, proseguono gli attacchi ramsomware, attraverso BlueNoroff, nuove tecniche consentono di aggirare le protezioni di Windows Mark of the Web ( MotW ).
Tra queste tecniche vi è l’uso di formati di file immagine disco ottico (estensione .ISO) e disco rigido virtuale (estensione .VHD) come è stato rivelato da Kaspersky, in un rapporto pubblicato oggi.
“BlueNoroff ha creato numerosi domini falsi impersonando società di capitale di rischio e banche”, ha affermato il ricercatore di sicurezza Seongsu Park
Per colpire il settore finanziario, sono stati creati dei domini fasulli che imitano ABF Capital, Angel Bridge, ANOBAKA, Bank of America e Mitsubishi UFJ Financial Group, la maggior parte dei quali si trova in Giappone.
Le motivazioni finanziarie hanno ampliato l’area di diffusione del virus, espandendola oltre alla nazione giapponese e consentendo una “diffusione geografica più ampia”, infiltrandosi in organizzazioni in Nord e Sud America, Europa, Africa e Asia.
Da 2018, BlueNoroff ha attuato un cambiamento tattico, incentrando i suoi attacchi esclusivamente sulle entità di criptovaluta per generare entrate illecite e difficilmente tracciabili.
Kaspersky all’inizio 2022 ha rivelato i dettagli di una campagna SnatchCrypto e di una campagna denominata AppleJeus , in cui vengono create false società di criptovaluta per attirare vittime inconsapevoli, spingendole ad installare applicazioni dall’aspetto innocuo che alla fine ricevono aggiornamenti backdoor.
Nell’ultimo aggiornamento malware, pare si sfruttino gli allegati di documenti Microsoft Word con file ISO attraverso e-mail di spear phishing per attivare l’infezione.
Lo spear phishing è un tipo di attacco informatico che prende di mira un individuo o un’organizzazione specifiche. Coinvolge l’attaccante che invia un’e-mail personalizzata e spesso convincente alla vittima, con l’obiettivo di indurre la vittima a divulgare informazioni sensibili o installare malware sul proprio dispositivo.
Gli attacchi di spear phishing hanno spesso più successo degli attacchi di phishing generici perché l’attaccante ha dedicato del tempo alla ricerca e alla personalizzazione dell’attacco per la vittima specifica. L’aggressore può utilizzare informazioni pubblicamente disponibili sulla vittima, come il suo titolo di lavoro e il nome del suo datore di lavoro, per far sembrare l’e-mail più legittima.
Per proteggersi dagli attacchi di spear phishing, è importante (quanto recuperare i file aziendali persi,durante l’attacco hacker, attraverso un servizio di recupero dati) prestare attenzione quando si aprono le e-mail, in particolare quelle che contengono allegati o collegamenti. Se ricevi un’e-mail che sembra sospetta o che non ti aspettavi, è una buona idea verificare l’autenticità dell’e-mail prima di intraprendere qualsiasi azione. Puoi farlo contattando direttamente il mittente tramite un metodo noto e affidabile, ad esempio per telefono o di persona. È inoltre consigliabile utilizzare filtri antispam e mantenere aggiornato il software antivirus per proteggersi da questi tipi di attacchi.
Questi file di immagini ottiche, hanno allegate presentazioni in Microsoft PowerPoint (.PPSX) e uno script Visual Basic (VBScript) che viene eseguito quando appena l’utente vittima clicca sul file PowerPoint.
Gli Attacchi Malware della Corea del Nord alla Sicurezza Informatica Mondiale
Ciò che potrebbe destare sospetto, nell utente che riceve l’emailè l’uso di nomi di file in lingua giapponese, che mirano ad infettare il sistema informatico delle società finanziarie nel Giappone attraverso BlueNoroff.
La guerra informatica, d’altronde, è stata uno degli obiettivi principali della Corea del Nord per controbattere all’imposizione di sanzioni economiche da parte delle Nazioni Unite, proprio per i suoi programmi nucleari.
In effetti, secondo il National Intelligence Service (NIS) della Corea del Sud, pare che la maggior parte delle entrate economiche del Nord Corea derivi proprio dagli hacker nordcoreani, che hanno raccimolato (si fa per dire…) 1,2 miliardi di dollari in criptovalute e altre risorse digitali, colpendo le finanze di tutto il mondo.
“Questo gruppo ha una forte motivazione finanziaria e riesce effettivamente a trarre profitto dai propri attacchi informatici”, ha affermato Park. “Ciò suggerisce anche che è improbabile che gli attacchi di questo gruppo diminuiscano nel prossimo futuro”.