Le grandi aziende e la loro intera filiera sono spesso bersagli di attacchi di spear-phishing: ad esempio, è in corso proprio in questi giorni una campagna che sta colpendo grandi aziende tra Germania, Stati Uniti e Giappone e nella quale il malware altamente offuscato viene diffuso tramite fonti pubbliche o legittime.

La catena di attacco è appositamente pensata per evitare il più possibile il rilevamento: inizia con una email di phishing che è stata pensata e personalizzata per ciascuna vittima. Questa email cerca di creare un certo senso di urgenza, per indurre il ricevente ad aprire il documento Excel allegato: all'apertura, il documento chiede all'utente di abilitare i contenuti attivi ed è qui che si esegue lo script PowerShell dannoso. All'esecuzione dello script, il codice accede ad un servizio pubblico per l'hosting delle immagini, quindi scarica una immagine che contiene in realtà il codice utile ad avviare la procedura di estrazione dati. 

Un attributo peculiare di questa campagna di spear-phishing è che i dati necessari all'attacco sono nascosti entro l'immagine scaricata ed è poi il malware, in una fase successiva, ad elaborarli per eseguire l'attività dannosa. Questa tecnica è chiamata steganografia, ovvero la pratica di nascondere specifici dati entro un'altra porzione di dati. In Italia questa tipologia di attacco si è già vista qualche anno fa. 

Approfondite analisi della campagna nella sua interezza mostrano come sia stata attentamente pensata e personalizzata a secondo delle vittime, a partire dall'email di phishing, che arriva all'utente nella lingua parlata nella sua nazione: l'utente target giapponese riceve effettivamente una email con oggetto e corpo mail in giapponese. 

Se i ricercatori hanno iniziato ad individuare varianti di questa tipologia di attacco fin dal 2018, questa nuova variante è peculiare perchè dimostra grande conoscenza ed "affinità" con le grandi aziende e le loro filiere. Il settore manifatturiero è stato colpito a più riprese con questo attacco, cosa che ha peggiorato ulteriormente una situazione già grave a causa della drastica riduzione dei profitti a causa della pandemia: il cyber crime è un ulteriore problema che rischia di avere effetti tanto deleteri, in termini economici, da aggravare ulteriormente una situazione già grave. A meno che, ovviamente, non si decida di affrontare il problema "di petto".

L'uso della steganografia rende tutto ancora più complesso: semplicemente le soluzioni di cyber sicurezza non riescono a individuare e bloccare un malware che viene distribuito con questa tecnica, ben nascosto entro altri file dall'apparenza innocua. L'uso di un payload criptato che necessita di una chiave di decriptazione per poter essere letto rende ulteriormente difficile, per i team IT, analizzare e bloccare i malware. 

Non c'è comunque da perdere la speranza e andare nel panico, anzi, sotto elenchiamo alcuni consigli da parte dei nostri esperti di sicurezza: 

Seqrite Endpoin Security integra una vasta gamma di efficaci funzioni contro phishing e spam, virus e ransomware, protezione email che possono fornire un enorme contributo alla cyber sicurezza aziendale.