Almeno due agenzie federali negli Stati Uniti sono state vittime di una “campagna informatica diffusa” che ha comportato l’uso di un legittimo software di monitoraggio e gestione remota (software RMM) per perpetuare una truffa di phishing.
Com’è stato sfruttato questo software RMM?
“In particolare, gli autori [in questione], i criminali informatici hanno inviato e-mail di phishing che hanno portato al download di software RMM legittimo – ScreenConnect (ora ConnectWise Control) e AnyDesk – che gli autori hanno utilizzato in una truffa di rimborso per rubare denaro dai conti bancari delle vittime“, hanno affermato le autorità di sicurezza informatica degli Stati Uniti.
L’avviso è arrivato in contemporanea dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla National Security Agency (NSA) e dal Multi-State Information Sharing and Analysis Center (MS-ISAC).
Gli attacchi, avvenuti tra metà giugno e metà settembre dell’anno scorso (del 2022), hanno motivazioni finanziarie, sebbene gli autori ignoti potrebbero tutt’ora utilizzare come arma l’accesso non autorizzato per condurre un’ampia gamma di attività, inclusa la vendita di tale accesso ad altre squadre di hacker.
L’utilizzo di software remoto da parte di gruppi criminali è stato per lungo tempo un motivo di preoccupazione, in quanto offre un percorso efficace per stabilire l’accesso utente locale (spesso come amministratore) su un host senza la necessità di elevare i privilegi (per l’appunto privilegi di admin) od ottenere un punto d’appoggio con altri mezzi.
In un caso, gli autori di queste minacce informatiche hanno inviato un’e-mail di phishing contenente un numero di telefono all’indirizzo e-mail governativo di un dipendente, spingendo il malcapitato in questione ad accedere ad un dominio dannoso; dopodiché le e-mail, ha affermato CISA, fanno parte di attacchi di ingegneria sociale a tema help desk orchestrati da questi misteriosi personaggi almeno dal giugno 2022 contro i dipendenti federali.
Le missive relative all’abbonamento incorporano un collegamento a un dominio ingannevole “di primo stadio” oppure adottano una tattica nota come phishing di richiamata (callback phishing, tecnica già vista in precedenza per altri malware) per indurre i destinatari a chiamare il numero di telefono controllato dall’autore per visitare il dominio stesso.
Indipendentemente dall’approccio utilizzato, il dominio dannoso attiva il download di un file binario che si collega successivamente ad un dominio di seconda fase per recuperare il software RMM sotto forma di eseguibili “portable” (cioè che si avviano senza installazione).
L’obiettivo finale è sfruttare il software RMM per avviare una truffa di rimborso, un ransomware sostanzialmente; ciò si ottiene istruendo le vittime ad accedere ai propri conti bancari, dopodiché gli autori di questo “giochetto” informatico modificano il riepilogo del conto bancario per far sembrare che al malcapitato che sia stata erroneamente rimborsato con una somma di denaro in eccesso piuttosto ingente.
Nella fase finale, gli operatori della truffa sollecitano i destinatari dell’e-mail a rimborsare l’importo aggiuntivo, defraudandoli di fatto dei loro fondi.
CISA ha attribuito l’attività a una “grande operazione di trojan” rivelata dalla società di sicurezza informatica Silent Push nell’ottobre 2022; detto questo, metodi di consegna di attacchi orientati al telefono simili sono stati adottati da altri attori, tra cui Luna Moth (noto anche come Silent Ransom).
“Questa campagna evidenzia la minaccia di attività informatiche dannose associate al software RMM legittimo: dopo aver ottenuto l’accesso alla rete prestabilita tramite phishing o altre tecniche, gli autori, informatici malintenzionati vari – dai semplici criminali informatici ad APT sponsorizzati da altre nazioni – sono noti per utilizzare software RMM legittimo come una backdoor per la [sua] persistenza e/o il command-and-control (C2)“, hanno avvertito le agenzie.
Anche in questo caso gli autori mandano mail
Si noti che come in molti altri casi documentati in precedenza, tutto parte da mail truffaldine ed ingannevoli: è quindi necessario istruire gli impiegati e il personale vario che lavora con internet a riconoscere “a vista” queste trappole.
————-
Contenuto pubblicato su tech.icrewplay.com Read More
