Come Proteggere la Tua Azienda da Attacchi Malware: Caso Trojan IceID e Tecnica HTML Smuggling

Nel mese di marzo, Fortgale ha rilevato un aumento significativo di attività malevole nei confronti di aziende italiane associate alla diffusione del malware Trojan IceID. L’attività più rilevante si è identificata nella campagna del 16 marzo in cui l’attore criminale ha manipolato precedenti conversazioni delle vittime inserendo un allegato malevolo con la tecnica dell’HTML Smuggling:

HTML Smuggling (T1219.002)
L'HTML Smuggling, invece, è un metodo più raffinato, usato per spingere la vittima ad eseguire il payload finale, che consiste nel malware.

Un’azienda vittima di un attacco come quello descritto può essere esposta a vari rischi, tra cui:

1. Perdita di Dati: la compromissione da un malware, come il Trojan IceID, può portare alla perdita o al furto di dati sensibili, che possono includere informazioni sui clienti, dati finanziari, proprietà intellettuale, dati personali dei dipendenti e molto altro.
2. Rischi Legali e di Conformità: Se dati sensibili vengono compromessi in un attacco, un’azienda può affrontare sanzioni legali e di conformità. Questo è particolarmente vero se l’azienda opera in settori altamente regolamentati come la sanità o la finanza.
3. Danno alla Reputazione: Un attacco di malware può danneggiare seriamente la reputazione di un’azienda, portando a una perdita di fiducia da parte dei clienti, dei partner e del pubblico. La riparazione di questo danno può richiedere tempo e risorse significative.
4. Ransomware: Il Trojan IceID è stato utilizzato anche come un dropper per Ransomware. Se un’azienda diventa vittima di un attacco ransomware, i criminali possono criptare i file dell’azienda e chiedere un riscatto per la loro decrittazione. Questo può portare a costi finanziari diretti e perdite di dati irreversibili se il riscatto non viene pagato o se la decrittazione fallisce.

È pertanto essenziale per le aziende attuare forti misure di sicurezza informatica per prevenire tali attacchi.

1. Overview dell’e-mail malevola

L’email compromessa contiene un file HTML allegato, progettato per simulare il download di un file compresso, chiamato Attach#3400.zip. Quando l’utente apre tale file, il malware viene attivato e scaricato da un server remoto. Questa sequenza di esecuzione rientra nella tecnica dell’HTML Smuggling, che consente di bypassare i controlli di sicurezza tradizionali e di infiltrare il malware senza che l’utente ne sia consapevole.

2. L’allegato malevolo e l’HTML Smuggling

L’allegato malevolo è un file HTML (INV#22_Payment_03_15.html) all’interno del quale è presente una porzione di codice che scarica automaticamente un archivio ZIP contenuto all’interno dello stesso file e codificato in Base64:

L’apertura del file HTML tramite Browser mostra al malcapitato una pagina di errore che spinge la vittima all’apertura del file scaricato (un archivio ZIP) protetto dalla password indicata nel messaggio. La password viene inserita nella pagina web come immagine come forma di anti analisi, infatti cos’ facendo, per i sistemi automatizzati risulta impossibile estrarre il contenuto del file ZIP.

3. L’avvio della catena di compromissione

All’interno dell’archivio è presente il file Document#27_March_15.js contenente codice JavaScript:

Lo script si occupa dell’avvio di comandi PowerShell per il download ed esecuzione di ulteriore codice malevolo dal dominio momidor[.]top (RU – 80[.]66[.]64[.]199):

4. Comunicazione del Malware e indicatori

Il codice risulta essere una dll malevola associata al Trojan IcediD (fig. 7) che contatta i server di Comando e Controllo (fig. 8):

5. Conclusioni

La rilevazione di queste attività malevole, orchestrate con il ricorso a tecniche raffinate come l’HTML Smuggling e l’impiego di malware come il Trojan IceID, sottolinea l’urgente necessità per le aziende di investire in misure di sicurezza informatica robuste e all’avanguardia. Questi attacchi, infatti, possono esporre le organizzazioni a rischi significativi che vanno dalla perdita di dati sensibili e preziosi, a possibili sanzioni legali e di conformità, fino al danno reputazionale e alle conseguenze economiche dirette di un attacco ransomware.

Nell’analisi dell’attacco in questione, è chiaro come i criminali informatici si stiano adattando e migliorando continuamente i loro metodi offensivi. L’uso di ingegneria sociale, come la manipolazione di conversazioni precedenti e l’induzione dell’utente ad eseguire il payload finale, dimostra il livello di sofisticazione degli attacchi odierni.

Il recente utilizzo dell’HTML Smuggling per bypassare i controlli di sicurezza tradizionali dimostra quanto sia importante per le aziende mantenere una comprensione aggiornata delle minacce emergenti. Una strategia di difesa efficace deve includere la formazione del personale sulla sicurezza informatica e sulle tecniche di phishing, l’aggiornamento regolare dei software e l’implementazione di strumenti di sicurezza avanzati, come l’analisi comportamentale e l’intelligenza artificiale, per identificare e bloccare i tentativi di intrusione.

Infine, data la potenziale gravità delle conseguenze di un attacco di successo, è altamente consigliato l’impiego di un team di specialisti che possa intervenire rapidamente per contenere, investigare e risolvere un incidente informatico nel caso si verifichi.

apt apt28 att&ck babuk backdoor banker Cve cybersecurity darkside difesa dump ecommerce emotet esx EXCHANGE EXCHANGE SERVER exfiltration fancy bear fortgale report incident response ioc italia mail malspam malware microsoft mitre nato phishing Protezione proxylogon raas ransomware rat response revil sfile2 sfile3 threat trickbot trojan underground ursnif virus WEBSHELL