Minerva Labs – La nuova tecnologia per combattere i malware elusivi sfrutta Dynamic Exchange di Microsoft

Un numero crescente di attacchi sfrutta le capacità dei moderni formati dei documenti per superare le soluzioni antimalware basilari. Tali misure implicano l’avvio di azioni dannose dai file di documenti per infettare i target principali utilizzando macro, PowerShell e altri script. Un singolo clic può inavvertitamente infettare i tuoi sistemi.

Gli autori di malware tengono sotto controllo la situazione e trovano inevitabilmente nuovi modi di abusare delle funzionalità delle applicazioni di elaborazione dei documenti al fine di infettare i sistemi. Una tecnica del genere che si trova in giro da un po’ di tempo si avvale del supporto che Microsoft Office ha per una tecnologia nota come Dynamic Data Exchange (DDE). DDE consente ai malintenzionati di fornire payload furtivi tramite file di documenti evitando l’uso delle macro.

Essi si sono rapidamente adattati all’utilizzo di questa tecnica e ora la stanno sfruttando a pieno. Ad esempio, un recente rapporto di Talos mostra l’uso di DDE nello spear phishing mirato con documenti dannosi che compromettono i server governativi degli Stati Uniti.

Un altro esempio è costituito da Necurs Botnet e Hancitor, un malware sempre presente che colpisce utilizzando spesso nuove tattiche come quelle rivelate dal nostro team in precedenza.

L’uso di DDE come tattica evasiva piace agli aggressori perché consente loro di aggirare le soluzioni dei loro target che hanno recentemente migliorato la protezione dei loro codici macro.

Gli autori degli attacchi possono utilizzare DDE per eseguire del codice dannoso non solo da Microsoft Word o Excel, ma anche dalle e-mail di Outlook e dagli inviti del calendario. In questo modo, l’efficacia della tattica è simile a quella di un precedente attacco rivolto all’intera nazione. Queste tattiche elusive rendono molto difficile il rilevamento della minaccia e spingono gli amministratori della sicurezza a fare affidamento sugli utenti finali, come descritto da Sophos.

Visto l’aumentare del numero degli attacchi sopra descritti, le compagnie di sicurezza stanno migliorando le tecniche di rilevamento delle minacce. Tale risposta a sua volta spinge i malintenzionati a cercare nuove tecniche elusive.

A differenza di altre soluzioni per la sicurezza, la piattaforma anti-elusione di Minerva non esamina i file cercando determinate caratteristiche per proteggere i nostri utenti. Al contrario, creiamo un ambiente sul potenziale bersaglio degli attacchi in cui le tecniche elusive fanno sì che il malware si auto-interrompa o diventi innocuo. Come twittato quando l’attacco si è verificato, tutti i clienti Minerva non sono stati colpiti da questo attacco.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.