Sommario
Gli ultimi sviluppi in ambito di sicurezza informatica rivelano una crescente sofisticazione nelle tecniche di attacco adottate dai cybercriminali. Le nuove strategie includono la concatenazione di file ZIP per eludere i rilevamenti di sicurezza, pacchetti malevoli su PyPI mirati a rubare credenziali AWS e una vulnerabilità critica nel software Veeam, sfruttata recentemente dal ransomware Frag per attaccare i dati di backup delle aziende. Ogni metodo riflette un approccio sempre più avanzato all’elusione dei sistemi di sicurezza e alla compromissione dei dati sensibili aziendali.
La concatenazione di file ZIP: una tecnica evasiva che elude le scansioni di sicurezza
Una delle più recenti tattiche individuate riguarda l’uso della concatenazione di file ZIP. In questo metodo, gli hacker uniscono due o più archivi ZIP in un unico file, uno dei quali contiene malware. A seconda dell’applicazione usata per decomprimere il file, come 7zip o Windows Explorer, il payload malevolo può risultare nascosto o inaccessibile, mentre solo i contenuti apparentemente innocui vengono visualizzati. Perception Point ha scoperto questa tecnica in un attacco di phishing mirato agli utenti Windows, dove il malware veniva attivato tramite script AutoIt una volta che il file veniva aperto con il software di sistema.
Questa tecnica sfrutta le diverse modalità con cui i software gestiscono i file ZIP concatenati. Ad esempio:
- 7zip mostra solo il primo archivio, che può sembrare innocuo.
- WinRAR rileva e mostra entrambi gli archivi, rivelando il malware nascosto.
- Windows Explorer può non riuscire ad aprire l’archivio, oppure visualizza solo l’ultimo file ZIP se viene rinominato con estensione RAR.
L’adozione di questa tecnica rappresenta una sfida per la sicurezza, poiché i sistemi di difesa convenzionali non sono sempre in grado di rilevare il malware nascosto in archivi concatenati. Per contrastare tali attacchi, Perception Point suggerisce di adottare soluzioni di sicurezza capaci di effettuare “recursive unpacking,” ovvero una decompressione e scansione multi-livello dei file ZIP per individuare eventuali payload nascosti.
Pacchetto PyPI “fabrice”: come un semplice typo può compromettere la sicurezza delle credenziali AWS
Un’altra minaccia recente è legata al pacchetto “fabrice” su PyPI, scaricato oltre 37.000 volte e progettato per rubare credenziali AWS. Questo pacchetto si basa sul “typosquatting,” ossia l’uso di nomi simili a librerie legittime molto popolari come “fabric,” un tool per la gestione remota di server. Sebbene “fabrice” sembri una libreria autentica, in realtà è dotata di funzionalità malevole.
Il pacchetto è progettato per colpire sia sistemi Linux sia Windows:
- Su Linux, “fabrice” installa script nascosti che scaricano e decodificano un payload da server esterni.
- Su Windows, installa un file nascosto nella cartella “Downloads,” utilizzando script che si attivano ogni 15 minuti, garantendo persistenza sul sistema.
Il principale obiettivo di “fabrice”, secondo i ricercatori di Socket, è il furto delle credenziali AWS tramite la libreria boto3, permettendo l’accesso ai dati aziendali salvati sui server Amazon. Le credenziali vengono esfiltrate verso un server esterno situato in Francia, il che complica ulteriormente la loro tracciabilità e ne facilita il riutilizzo.
Vulnerabilità critica in Veeam sfruttata dal ransomware Frag
Un’altra minaccia rilevante è rappresentata da una vulnerabilità critica di esecuzione di codice remoto (RCE) nel software Veeam Backup & Replication (VBR), indicata come CVE-2024-40711. Questa falla è stata recentemente sfruttata per diffondere il ransomware Frag, prendendo di mira le infrastrutture di backup delle aziende, solitamente usate per il recupero dati in caso di disastri o attacchi informatici.
La vulnerabilità CVE-2024-40711 è causata da un errore di deserializzazione di dati non attendibili, che consente a un attore di minaccia di eseguire codice dannoso su server Veeam esposti. In precedenza, questa falla era già stata sfruttata per diffondere i ransomware Akira e Fog. La modalità di attacco tipica prevede l’uso di credenziali VPN rubate, che consentono agli hacker di accedere ai server Veeam vulnerabili e di creare account amministrativi non autorizzati per eseguire codice e diffondere il ransomware.
Il ransomware Frag, di recente emersione, adotta tecniche di Living Off The Land Binaries (LOLBins), ossia l’uso di software legittimo presente sui sistemi compromessi per evitare il rilevamento. Questo metodo di attacco rende particolarmente difficile per i sistemi di sicurezza identificare comportamenti anomali, poiché si avvale di strumenti di sistema già installati anziché di codice esterno visibilmente malevolo.
Implicazioni e misure di protezione
Le aziende che utilizzano Veeam sono fortemente invitate a eseguire immediatamente gli aggiornamenti di sicurezza rilasciati a partire da settembre 2024. Gli esperti di sicurezza suggeriscono inoltre di:
- Implementare controlli di accesso rigorosi per evitare accessi non autorizzati via VPN.
- Monitorare i registri di sistema per rilevare eventuali tentativi di accesso sospetti.
- Considerare strumenti di sicurezza avanzati per rilevare l’uso anomalo di LOLBins e bloccare attività non autorizzate.
Le minacce Zip Pypi, Veeam, evidenziano una sempre maggiore sofisticazione nelle tecniche utilizzate dai cybercriminali, che sfruttano sia le debolezze del software che le vulnerabilità umane (come il typosquatting) per accedere a dati sensibili. Le aziende devono adottare soluzioni di sicurezza aggiornate e implementare strategie di mitigazione dei rischi per proteggere i loro asset digitali.
