Sommario
Trend Micro, un’azienda leader nella sicurezza informatica, ha recentemente identificato attività altamente sospette all’interno di un’organizzazione bersaglio. Gli attori malintenzionati hanno utilizzato il malvertising come vettore di attacco per distribuire malware attraverso pagine web clonate di organizzazioni legittime. In questo caso specifico, la distribuzione ha coinvolto una pagina web dell’applicazione WinSCP, un’applicazione Windows open-source per il trasferimento di file.
Cos’è il Malvertising?
Il malvertising è una tecnica in cui i distributori di malware abusano delle piattaforme pubblicitarie, come Google Ads, per visualizzare annunci dannosi che attirano gli utenti dei motori di ricerca a scaricare malware. Questo viene fatto dirottando parole chiave scelte per visualizzare annunci dannosi, che spesso appaiono come pubblicità legittime.
Attività non autorizzate e dannose
L’organizzazione bersaglio, in collaborazione con il team di Trend Micro, ha scoperto che i cybercriminali hanno eseguito una serie di attività non autorizzate e dannose all’interno della rete dell’azienda. Queste attività includevano il furto di privilegi di amministratore di alto livello, l’uso di questi privilegi per condurre attività non autorizzate, il tentativo di stabilire persistenza e accesso backdoor all’ambiente del cliente utilizzando strumenti di gestione remota come AnyDesk, e il tentativo di rubare password e accedere ai server di backup.
Implicazioni e intervento tempestivo
È altamente probabile che l’impresa sarebbe stata notevolmente colpita dall’attacco se l’intervento fosse stato cercato in un momento successivo. Gli attori della minaccia erano già riusciti a ottenere un accesso iniziale ai privilegi dell’amministratore di dominio e avevano iniziato a stabilire backdoor e persistenza. L’intervento tempestivo e l’identificazione delle attività sospette sono stati cruciali per mitigare l’impatto dell’attacco.
