Negli ultimi mesi abbiamo registrato una crescita improvvisa di attacchi di Spear Phishing. Lo Spear Phishing è una variante della classica truffa di phishing, nel quale un attaccante invia ad un individuo (spesso un dipendente di una azienda) una email che sembra provenire da una fonte legittima. Al contrario delle vaste campagne di phishing, lo spear phishing è molto più mirato, pensato per colpire utenti specifici. Vengono usati vari trucchetti di ingegneria sociale, tra i quali transazioni commerciali o offerte, per convincere il destinatario della legittimità e genuinità della fonte e del messaggio stesso, spesso proveniente da una persona o da un contatto già conosciuto. 

Ovviamente lo scopo di queste email, come di ogni truffa informatica, è quello di ottenere l'accesso al sistema dell'utente vittima e/o sottrarre informazioni riservate. 

Per approfondire >> Spear Phishing: che cosa è e come può compromettere la sicurezza della tua azienda

Rendiamo qualche dettaglio tecnico di una campagna di Spear Phishing che abbiamo recentemente analizzato, a titolo esemplificativo: come detto molte volte, infatti, la prima linea di difesa dai cyber attacchi siamo noi stessi ed è quindi utile avere consapevolezza delle tipologie di attacchi più diffusi così da saper distinguere una email falsa da una email legittima.

Il primo step di questa catena di infezione è la distribuzione di una email apparentemente legittima contenente un file XLS in allegato. Il nome dell'allegato è del tipo "Notifica Importante" o "Importanti aggiornamenti", provenienti da fonti collegate al proprio ambiente lavorativo o da enti governativi. Quando il destinatario apre l'allegato XLS, viene subito visualizzato il prompt che invita l'utente ad abilitare le macro in Excel. 

Se l'utente clicca su "Abilita macro" il file XLS viene aperto in visualizzazione. Uno degli allegati che abbiamo analizzato approfonditamente, aveva due form utente con differenti nomi e un modulo col codice sorgente presente nella macro. Il primo form, "WsHAfi Box" contiene dati in forma decimale. 

Nel corso dell'analisi abbiamo scoperto che sostituendo l'apostrofo (') con lo spazio si ottengono alcuni dati nel formato decimale. Li abbiamo quindi convertiti da decimali ad ASCII e abbiamo ottenuto un file .ZIP.  Nella foto sottostante sono mostrati i passaggi per ottenere il file .ZIP

Il contenuto dell'archivio compresso viene estratto con la funzione Sub unHafizaizip(): è il payload ("dtiardhues.exe"), che viene quindi eseguito tramite Shell.  In dettaglio questo eseguibile è un RAT (trojan per accesso da remoto)