Il phishing (o spear phishing) è la tecnica più utilizzata dai cybercriminali per “entrare” nei computer e nelle reti aziendali. In alcuni casi vengono sfruttate le vulnerabilità RCE che permettono l’esecuzione di codice remoto. Gli esperti di Kaspersky hanno identificato e descritto quattro metodi di infezione poco diffusi, ma altrettanto efficaci.
Metodi di infezione poco comuni
Un nuovo metodo di propagazione dell’infezione è stato utilizzato dal gruppo Black Basta. I ricercatori di Kaspersky hanno trovato nel codice aggiornato del ransomware un comando con il parametro “-bomb
” che permette di effettuare la connessione ad Active Directory usando la libreria LDAP. Viene quindi ottenuto l’elenco dei computer in rete, sui quali viene istallato ed eseguito il malware. Questo metodo è più efficace perché lascia meno tracce nel sistema, quindi è meno rilevabile dalle soluzioni di sicurezza.
Il malware CLoader viene invece nascosto negli installer NSIS di software e giochi pirata distribuiti tramite torrent. CLoader può installare sul computer vari payload, tra cui downloader, proxy e backdoor.
Un altro metodo ingegnoso è stato sfruttato per distribuire OnionPoison. Su alcuni canali YouTube in lingua cinese viene spiegato come installare il browser Tor (bloccato in Cina). Il link nella descrizione punta però ad una versione infetta che include la backdoor.
L’ultimo “trucco” è stato utilizzato per distribuire AdvancedIPSpyware. I cybercriminali usano un certificato rubato per firmare la versione fasulla del tool Advanced IP Scanner. Come si deduce dal nome, il malware viene sfruttato per le campagne di cyberspionaggio.