Il Phishing è sicuramente uno dei principali vettori d’attacco (se non il principale) per la compromissione di utenze e sistemi aziendali (Spearphishing e allegati malevoli).

Come spesso succede, l’evoluzione dei sistemi difensivi porta ad una contestuale evoluzione delle tecniche utilizzate dai criminali per bypassare le tecnologie difensive.

Ultimamente, per superare gli efficaci controlli Anti-Spam, i criminali creano delle pagine di Phishing allegandole alle e-mail.

Tradizionalmente, gli attacchi BEC (Business E-Mail Compromise) sfruttano malware di tipo keylogger per rubare le informazioni degli account target. Tuttavia, l’utilizzo di file malevoli in allegato è un approccio facilmente rilevabile dalle tecnologie di protezione.

Di conseguenza si nota la tendenza sempre maggiore nell’utilizzo di file allegati di tipo HTML.

Un approccio signature-less

Le soluzioni Anti-Spam utilizzano criteri basati su firme per l’identificazione di e-mail che fanno leva su questo genere di attacchi.

Risulta possibile affrontare il problema andando all’identificazione dell’anomalia e dei processi associati all’apertura di file sospetti.

Un esempio:

Parametri Valori
Parent Process Outlook.exe (e simili)
Process Name Chrome.exe (e simili)
Command Line *.htm (e simili)