Riassunto dei rischi per l'uomo: Quando il browser diventa l'esca

In questa edizione dello Human Risk Roundup, esploriamo come gli aggressori si stiano adattando alle difese tecniche rinforzate, spostando la loro attenzione sul comportamento umano. Una nuova tecnica di phishing, denominata FileFix 2.0, dimostra come una cosa ordinaria come il salvataggio di un file nel browser possa essere manipolata per installare un malware, senza bisogno di una catena di exploit. Inoltre, gli operatori di ransomware stanno raddoppiando gli obiettivi di alto valore e i dati personali sensibili per massimizzare l'impatto. E i nuovi dati rivelano una tendenza più ampia: mentre i browser diventano più difficili da sfruttare direttamente, gli aggressori li utilizzano sempre più come un percorso per manipolare gli utenti. Continuate a leggere per conoscere le ultime tattiche e ciò che i leader della sicurezza devono sapere per gestire il rischio umano. 

FileFix 2.0: Una nuova tattica di phishing sfrutta il comportamento del browser 

Un vettore di attacco di phishing appena scoperto, soprannominato FileFix 2.0 dal ricercatore di sicurezza mr.d0x, manipola il modo in cui i browser moderni salvano i file HTML per aggirare i meccanismi di sicurezza chiave e indurre gli utenti a scaricare contenuti dannosi. Questa tecnica si basa sul metodo ClickFix conosciuto in precedenza, utilizzando l'ingegneria sociale per sfruttare la fiducia dell'utente e il comportamento del browser, consentendo agli aggressori di distribuire malware attraverso attacchi di phishing con un solo clic. 

Cosa succede 

I criminali informatici creano siti web falsi che imitano piattaforme affidabili come Google o Microsoft, completi di istruzioni realistiche e codici numerati per creare fiducia. Questi siti incoraggiano gli utenti a salvare i "codici di backup" sui loro dispositivi utilizzando "Ctrl+S" e a nominare il file con un'estensione ".hta". 

Pensando di archiviare in modo sicuro importanti informazioni di sicurezza, gli utenti scaricano inconsapevolmente un file maligno in grado di eseguire comandi dannosi sui loro computer. Per far apparire il file come legittimo, gli aggressori manipolano il suo nome o nascondono dettagli critici, come l'estensione del file, per evitare di destare sospetti. 

Questo attacco sfrutta anche una stranezza del browser che salta una funzione di sicurezza chiave di Windows chiamata Mark of the Web (MOTW). Senza questa salvaguardia, il file dannoso può essere eseguito senza attivare avvisi, facendolo sembrare sicuro sia agli utenti che ai sistemi di sicurezza. 

Perché è importante 

Questo attacco evidenzia come gli aggressori stiano sfruttando i comportamenti dei browser e la fiducia degli utenti per aggirare i meccanismi di sicurezza tradizionali. Sfruttando l'assenza di metadati MoTW e manipolando le estensioni dei file, gli aggressori possono distribuire malware senza attivare gli avvisi di sicurezza standard. 

Il metodo FileFix 2.0 è particolarmente pericoloso perché combina l'evasione tecnica con l'ingegneria sociale, rendendo più difficile il rilevamento sia per gli utenti che per le difese automatizzate. Il potenziale di sfruttamento diffuso negli ambienti consumer e aziendali sottolinea la necessità di difese proattive. 

Consigli pratici per i leader della sicurezza 

Utilizzi gli strumenti di web security e-mail per bloccare gli allegati dannosi, scansionare i link e rimuovere i contenuti dannosi per bloccare le minacce di phishing e malware. 

Istruisca gli utenti con corsi di sensibilizzazione per aiutarli a riconoscere i tentativi di phishing. 

Utilizza il rilevamento delle minacce per identificare e bloccare i file o i link dannosi prima che raggiungano gli utenti. 

Monitorare le attività sospette in tempo reale per individuare e rispondere rapidamente alle campagne di phishing o malware. 

Legga di più su Bleeping Computer.

Il continuoaumento del ransomware rivela un nuovo playbook

I criminali utilizzano il ransomware-as-a-service (RaaS) per scalare le loro operazioni e attaccare un maggior numero di organizzazioni per chiedere denaro in cambio di dati in ostaggio. I recenti incidenti che hanno coinvolto il governo svizzero e Optima Tax Relief sottolineano anche come i cattivi attori stiano prendendo sempre più di mira partner di terze parti e dati di alto valore per massimizzare il loro impatto.  

Cosa è successo 

In Svizzera, la banda del ransomware Sarcoma ha preso di mira Radix, un'organizzazione di terze parti che gestisce programmi sanitari e servizi di consulenza online per il governo. Gli aggressori hanno rubato oltre 1,3 terabyte di dati, tra cui registri finanziari, contratti e comunicazioni, e li hanno diffusi sul dark web dopo il fallimento delle trattative per il riscatto. Mentre i sistemi interni del Governo svizzero non sono stati violati, piattaforme come SafeZone e StopSmoking, che offrono consulenza anonima, sono state probabilmente colpite, sollevando preoccupazioni sulla privacy e sull'esposizione di informazioni personali sensibili. 

Anche un altro recente attacco a Optima Tax Relief da parte del gruppo Chaos ransomware ha comportato la perdita di dati personali e aziendali. Questo attacco segue la presunta violazione dell'Esercito della Salvezza da parte di Chaos all'inizio di quest'anno. I rapporti rilevano che sia Sarcoma che Chaos utilizzano tattiche di doppia estorsione, criptando i sistemi e minacciando di diffondere i dati rubati per spingere le vittime a pagare. 

Perché è importante 

Gli incidenti evidenziano un'evoluzione nelle tattiche e negli obiettivi delle bande di ransomware. Gruppi criminali come Sarcoma e Chaos si stanno concentrando sulle organizzazioni che conservano dati altamente sensibili, spesso immutabili, come i registri governativi e i file di consulenza personale, rendendo più efficaci le estorsioni. La doppia estorsione è diventata una pratica standard, con la divulgazione pubblica dei dati rubati per aumentare la pressione sulle vittime. Le tattiche di ingegneria sociale sono spesso utilizzate come punto di ingresso iniziale, sfruttando la fiducia umana per ottenere l'accesso e creare la base per questi attacchi sofisticati.  

Consigli pratici per i leader della sicurezza  

• Utilizzi gli strumenti di web security e-mail per bloccare gli allegati dannosi, scansionare i link e rimuovere i contenuti dannosi per bloccare le minacce di phishing e malware. 

• Istruisca gli utenti con corsi di sensibilizzazione per aiutarli a riconoscere i tentativi di phishing e ad evitare comportamenti rischiosi. 

• Utilizza la riscrittura e la scansione degli URL per analizzare i link al momento del clic e bloccare gli URL dannosi, anche negli attacchi ritardati o sensibili al tempo. 

• Abilita la protezione anti-phishing e impersonificazione per identificare e bloccare le e-mail che imitano marchi o persone fidate, riducendo il rischio di social engineering. 

Per saperne di più sugli attacchi, cliccare qui.

Cosa guardare: Gli esseri umani sostituiscono i browser come nuova superficie di attacco 

Un nuovo rapporto rileva che, mentre gli exploit tradizionali del browser sono in calo, gli aggressori stanno prendendo sempre più di mira gli utenti stessi, trasformando il browser in una piattaforma di lancio per l'inganno. Nel 2024, il 70% degli attacchi è iniziato con un download del browser, rispetto al 58% dell'anno precedente. Invece di sfruttare le vulnerabilità, gli aggressori stanno dirottando le funzioni legittime del browser, inducendo gli utenti ad installare estensioni dannose o ad autorizzare applicazioni ingannevoli attraverso piattaforme affidabili come Google Chrome. Come riporta Dark Reading, non si tratta più di violare il software, ma di infrangere la fiducia degli utenti. Con l'aumento del lavoro da remoto e dell'affidamento al cloud, l'utente è diventato la nuova superficie di attacco, rendendo fondamentale dare priorità all'educazione, alla consapevolezza e alle difese proattive dell'utente per rimanere al passo con queste minacce in evoluzione. La gestione del rischio umano è ora una pietra miliare della cybersecurity, incentrata sull'equipaggiamento degli utenti con le conoscenze e gli strumenti per identificare e contrastare queste minacce in evoluzione.

                                                             Legga la storia completa su Dark Reading.