Nuove strategie di phishing: i malware si evolvono con Google Sites

Ricercatori nel campo della cybersecurity hanno individuato una sofisticata campagna di malware che sfrutta pagine di Google Sites false per distribuire un malware commerciale noto come AZORult, mirato al furto di informazioni. Questa tecnica particolare prevede che il payload malevolo sia incapsulato in un file JSON ospitato su un sito esterno. Il phishing orchestrato non è stato collegato a un gruppo specifico, ma è riconosciuto per la sua vasta portata e finalizzato alla raccolta di dati sensibili da vendere nei forum del dark web.

Caratteristiche e tecniche di distribuzione di AZORult

AZORult, identificato anche come PuffStealer e Ruzalto, è uno strumento per il furto di informazioni apparso per la prima volta nel 2016. Generalmente, viene diffuso tramite phishing, installatori contaminati di software o media piratati e malvertising. Una volta installato, è in grado di sottrarre credenziali, cookies, cronologia dei browser, screenshot e documenti con specifiche estensioni, nonché dati da 137 portafogli di criptovalute. Le tecniche di elusione comprendono carichi di codice riflessivo, riducendo al minimo le tracce ed evitando il rilevamento basato su disco.

Il contrabbando HTML come veicolo del malware

La campagna si avvale del contrabbando HTML, una tattica raffinata che abusa delle funzionalità legittime di HTML5 e JavaScript per assemblare e lanciare il malware, "contrabbandando" uno script maligno codificato. Quando un utente viene indotto ad aprire la pagina truffa tramite una email di phishing, il browser decodifica lo script e distribuisce il payload sul dispositivo della vittima, eludendo così i controlli di sicurezza standard che analizzano solo gli allegati sospetti.

Trend emergenti e casi di studio recenti

Questa tattica sfrutta anche un ostacolo CAPTCHA per aggiungere un velo di legittimità e proteggersi dagli scanner di URL. I recenti ritrovamenti evidenziano l'uso di file SVG malevoli per diffondere altre famiglie di malware, come Agent Tesla e XWorm, con l'ausilio di programmi open-source che facilitano la creazione di file HTML o SVG contrabbandati. Campagne di phishing sono state inoltre notate nell'impiego di file LNK dentro archivi per propagare LokiBot, un malware simile ad AZORult per le capacità di raccolta dati.