Gli attacchi alla catena di fornitura del software open source stanno prendendo di mira il settore bancario, con tecniche avanzate e tattiche ingannevoli. Questi attacchi, che sono stati scoperti dai ricercatori di sicurezza informatica, sono i primi del loro genere a mirare specificamente al settore bancario.
Tecniche avanzate e tattiche ingannevoli
Gli attacchi hanno mostrato tecniche avanzate, tra cui il mirare a componenti specifici nelle risorse web della banca vittima, collegando funzionalità malevole ad essa. Gli aggressori hanno utilizzato tattiche ingannevoli come la creazione di un falso profilo LinkedIn per apparire credibili e centri di comando e controllo personalizzati per ogni obiettivo, sfruttando servizi legittimi per attività illecite.
Il malware e il suo funzionamento
Nel primo attacco, l’autore del malware avrebbe caricato un paio di pacchetti nel registro npm all’inizio di aprile 2023, fingendosi un dipendente della banca bersaglio. I moduli venivano con uno script di preinstallazione per attivare la sequenza di infezione. Per completare l’inganno, l’attore della minaccia dietro di esso ha creato una falsa pagina LinkedIn.
L’uso di Azure e il payload di seconda fase
L’attaccante ha utilizzato in modo intelligente i sottodomini CDN di Azure per consegnare efficacemente il payload di seconda fase. Questa tattica è particolarmente astuta perché elude i metodi tradizionali di lista di negazione, a causa dello status di Azure come servizio legittimo.
Il gruppo di crimine informatico RedCurl
Lo sviluppo arriva mentre il gruppo di crimine informatico di lingua russa RedCurl ha violato una grande banca russa non nominata e un’azienda australiana nel novembre 2022 e nel maggio 2023 per sifonare segreti aziendali e informazioni sui dipendenti come parte di una sofisticata campagna di phishing.