Nuove strategie di phishing: i malware si evolvono con Google Sites
Tattiche sofisticate di cyber-attacco: l'uso di Google Sites e tecniche avanzate nell'ultimo schema di phishing
Ricercatori hanno scoperto una campagna di malware che usa false pagine Google Sites per diffondere AZORult, un malware che ruba informazioni. Utilizza tecniche avanzate per evitare rilevamenti, mirando al furto di dati sensibili.
Ricercatori nel campo della cybersecurity hanno individuato una sofisticata campagna di malware che sfrutta pagine di Google Sites false per distribuire un malware commerciale noto come AZORult, mirato al furto di informazioni. Questa tecnica particolare prevede che il payload malevolo sia incapsulato in un file JSON ospitato su un sito esterno. Il phishing orchestrato non è stato collegato a un gruppo specifico, ma è riconosciuto per la sua vasta portata e finalizzato alla raccolta di dati sensibili da vendere nei forum del dark web.
Caratteristiche e tecniche di distribuzione di AZORult
AZORult, identificato anche come PuffStealer e Ruzalto, è uno strumento per il furto di informazioni apparso per la prima volta nel 2016. Generalmente, viene diffuso tramite phishing, installatori contaminati di software o media piratati e malvertising. Una volta installato, è in grado di sottrarre credenziali, cookies, cronologia dei browser, screenshot e documenti con specifiche estensioni, nonché dati da 137 portafogli di criptovalute. Le tecniche di elusione comprendono carichi di codice riflessivo, riducendo al minimo le tracce ed evitando il rilevamento basato su disco.
Il contrabbando HTML come veicolo del malware
La campagna si avvale del contrabbando HTML, una tattica raffinata che abusa delle funzionalità legittime di HTML5 e JavaScript per assemblare e lanciare il malware, "contrabbandando" uno script maligno codificato. Quando un utente viene indotto ad aprire la pagina truffa tramite una email di phishing, il browser decodifica lo script e distribuisce il payload sul dispositivo della vittima, eludendo così i controlli di sicurezza standard che analizzano solo gli allegati sospetti.
Trend emergenti e casi di studio recenti
Questa tattica sfrutta anche un ostacolo CAPTCHA per aggiungere un velo di legittimità e proteggersi dagli scanner di URL. I recenti ritrovamenti evidenziano l'uso di file SVG malevoli per diffondere altre famiglie di malware, come Agent Tesla e XWorm, con l'ausilio di programmi open-source che facilitano la creazione di file HTML o SVG contrabbandati. Campagne di phishing sono state inoltre notate nell'impiego di file LNK dentro archivi per propagare LokiBot, un malware simile ad AZORult per le capacità di raccolta dati.
Follow us on Facebook for more pills like this03/18/2024 13:06
Marco Verro