Il phishing che sfrutta la modalità App dei browser per nuovi attacchi diversificati
Nuovi scenari di creatività si stanno diffondendo tra le fila della criminalità informatica. La modalità app fornita dai browser Chromium-like è un esempio di attacco di phishing nuovo nel suo genere, così come le email che impersonano servizi noti per diffondere file dannosi
Una ricerca identifica il rischio di utilizzo malevolo della funzionalità applicazione fornita dai Web browser Chromium. Se illecitamente sfruttata può portare ad attacchi di phishing nuovi nella loro organizzazione. L’evoluzione della sicurezza è seguita di pari passo dall’evoluzione criminale, con una malsana creatività che spinge attori malevoli a trovare sempre soluzioni nuove ai danni delle vittime.
Modalità applicazione del browser Web sfruttata per il phishing
Lo ha dimostrato empiricamente il ricercatore Mr.d0x che, dopo aver studiato il caso degli attacchi Browser in the Browser (BitB), ha evidenziato come la modalità “app” di tutti i Web browser della famiglia Chromium, quindi Microsoft Edge, Google Chrome, Brave, possa essere sfruttata per particolari attacchi di phishing, nell’ottica di compromettere credenziali di accesso.
La forza di un attacco sviluppato sfruttando questa modalità, sta nel fatto che l’utente è portato a fidarsi maggiormente di una app piuttosto che di una pagina Web, sulla quale magari è ormai abituato a diffidare maggiormente, prima di inserire delle credenziali.
L’aspetto privo di distrazioni, tipico della modalità app, con la quale si possono aprire specifici indirizzi Web (URL) fornisce una ulteriore garanzia di stabilità e falsa sicurezza nell’utente. In queste schermate infatti, viene aperto il sito Web (predisposto dall’attaccante) senza barre degli strumenti, come fosse una vera applicazione.
Questa modalità è sfruttabile malevolmente in Windows dalla versione 10 e superiori, ma anche con apposite configurazioni in MacOS e Linux.
Il phishing combinato all’ingegneria sociale
In un attacco di questo genere non è sufficiente l’utilizzo delle sole tecniche di phishing classiche, utili per impersonare un certo servizio o brand, ma è necessario che l’attaccante riesca a convincere la vittima ad eseguire un collegamento di Windows che avvii un URL di phishing utilizzando la funzione Modalità app di Chromium. Normalmente, sempre più spesso, questo passaggio viene portato a termine utilizzando la debolezza del fattore umano e l’ingegneria sociale.
Una grande mano a questo ingresso iniziale, suggerisce la ricerca, è data dall’installazione di default di Microsoft Edge in Windows. È infatti ora molto più semplice per gli attaccanti poter diffondere (e far aprire), file di collegamento .LNK mascherati con altre icone di tipologie di file differenti.
Con questa tecnica si possono creare collegamenti, verso URL malevole, di ogni genere, con differenze rispetto all’originale decisamente non preoccupanti. Un esempio lampante di questo fenomeno è il caso del login Microsoft, per esempio nell’applicativo Teams, distinguere l’app originale, dal collegamento malevolo creato ad hoc, senza vedere la barra degli indirizzi, risulta decisamente sfidante.
Nuove tecniche di attacco anche per lo scenario del phishing
Come abbiamo visto, fenomeni globali come il recente blocco delle macro (come impostazione predefinita) in Microsoft Office, stimola la creatività degli attaccanti, in nuovi scenari sempre più sofisticati. Questo è evidenziato dalla ricerca appena analizzata sulla modalità app sfruttata con collegamenti malevoli, ma anche da un recente studio di CheckPoint che evidenzia come il traffico email, contenenti allegati malevoli, sia cambiato.
Benché infatti sia ancora presente una grande fetta del traffico malevolo che viaggia via e-mail contente file di Microsoft Office (ad esempio xlsx, xlsm, docx, doc, ppt e in particolare Excel che costituisce il 49% del traffico malevolo), i gruppi criminali stanno iniziando a cambiare strategia, soprattutto in previsione di una sempre maggiore diffusione del blocco delle macro di default.
Tra i metodi di distribuzione di attacchi che sfruttano gli allegati via e-mail, crescono gli archivi .ZIP e .RAR, normalmente protetti da password, proprio per evitare quanto più possibile di sfuggire alla detection. Anche in questo caso, il tutto viene accompagnato da grandi dosi di social engineering, tramite il corpo della mail, che guida la vittima passo passo, anche solamente per fornire la password corretta all’archivio presente in allegato. L’ingegneria sociale che viene utilizzata per convincere la vittima a compiere azioni dannose, trova la strada spianata grazie alle tecniche di phishing nella grafica di eventuali allegati dannosi oppure del corpo della mail, così da conquistare subito la fiducia dell’utente.
“Non è mai stato così importante per i dipendenti capire i rischi del social engineering e sapere come identificare un attacco. I cyber-criminali, infatti, spesso inviano una semplice e-mail che non contiene alcun malware, ma impersona qualcuno che conosciamo, solo per avviare una conversazione con noi”, riferisce CheckPoint nel suo report.
Il fattore umano sta diventando perciò sempre più fondamentale, in un approccio basato sulla sicurezza delle informazioni. L’anello debole che richiede formazione adeguata e al passo con gli aggiornamenti, al fine di garantire l’effettiva riservatezza dei dati interni ad un’organizzazione. I sistemi di email security e di protezione software sono sicuramente dei validi e indispensabili alleati sul posto di lavoro, ma è sempre più raccomandato che vengano accompagnati da un’utenza formata sui rischi dell’ingegneria sociale.
FONTE: cybersecurity360