Collegamento CDN Discord utilizzato in modo improprio per inviare RAT mascherati da file OneDrive
In una nuova minaccia scoperta dall'azienda di sicurezza informatica Sublime Security, osservata sulla piattaforma di posta elettronica Microsoft 365 , gli hacker stanno utilizzando un'astuta campagna malware per ingannare gli utenti con false e-mail OneDrive .
Nella ricerca, condivisa con Hackread.com, l'azienda ha scoperto che questo attacco sofisticato installa due programmi di controllo remoto separati sul computer della vittima, rendendone molto difficile il blocco.
Il sistema basato sull'intelligenza artificiale di Sublime Security ha rilevato l'attacco individuando diversi indizi sottili. Tra questi, l'e-mail che dichiarava di condividere un file ma era stata inviata a un elenco di destinatari non divulgato, l'estensione fuorviante del file (che diceva .docx ma era un .msi ) e l'utilizzo di un sito di hosting di file gratuito.
I ricercatori hanno scoperto che l'attacco inizia con un'e-mail dannosa inviata da un account precedentemente compromesso. Il messaggio è progettato per assomigliare a una notifica di condivisione file di OneDrive di Microsoft, con tanto di piè di pagina con la privacy e l'icona di un documento Word .
Il link contenuto nell'e-mail promette di scaricare un file di documento, ma in realtà conduce a un pericoloso file di installazione ospitato su un servizio gratuito, il CDN Discord . Quando un utente clicca sul link, l'attacco installa un software noto come RMM (Remote Monitoring and Management). Si tratta di strumenti legittimi utilizzati dai professionisti IT per riparare i computer a distanza, ma i criminali informatici possono utilizzarli per assumere il pieno controllo di una macchina.
Il software RMM funziona installando un piccolo programma chiamato agente sul computer di destinazione, che crea la connessione per l'accesso remoto. Una volta installato, un RMM può essere utilizzato per rubare dati, bloccare il computer per ottenere un riscatto o sferrare altri attacchi. Questa campagna è particolarmente insidiosa perché installa Atera in un processo visibile, mentre due installazioni vengono eseguite in background, tra cui Splashtop Streamer e .Net Runtime 8.
Entrambi vengono scaricati da fonti legittime, il che li fa apparire come traffico web innocuo. Questo duplice approccio è un elemento chiave dello schema, poiché garantisce che l'aggressore "mantenga il controllo remoto anche se viene scoperto un RMM", si legge nel post del blog .
Questa campagna evidenzia la crescente minaccia di attacchi multifase che utilizzano l'inganno per ottenere il controllo duraturo sul computer della vittima. Per proteggersi, è sempre consigliabile prestare attenzione alle e-mail inaspettate, anche quelle provenienti da fonti attendibili come OneDrive. Inoltre, prima di aprire qualsiasi file scaricato, verificarne attentamente il tipo e il nome; se il tipo di file sembra errato, ad esempio un file .msi anziché .docx , non eseguirlo.
HackRead
