HP Wolf Security ha pubblicato il suo recente Quarterly Threat Insights Report, che evidenzia le nuove tecniche utilizzate dai cybercriminali per violare l’endpoint.
HP Wolf Security threat research team ha individuato una serie di attacchi che utilizzano le funzionalità di Excel per aggirare il rilevamento e ottenere l’accesso alle aziende target, esponendole al furto di dati e ad attacchi ransomware. Una campagna hacker che utilizzava i file add-in di Microsoft Excel (.xll) per diffondere malware tramite un clic ha registrato un incremento pari a sei volte (+588%), e gli strumenti per replicare l’attacco erano in vendita nei forum clandestini. Altre campagne excel utilizzavano tecniche nascoste come il thread hijacking delle e-mail per indurre gli utenti a cliccare. Anche le campagne Emotet ora sfruttano Excel invece di file JavaScript o Word.
Sfruttando strumenti leciti, nascondendo il malware in file di tipo ignoto e inviando esche convincenti utilizzando il thread hijacking, anche gli hacker di “basso livello” possono eseguire attacchi nascosti e vendere l’accesso a gruppi di ransomware organizzati. Questo può portare a violazioni su larga scala che potrebbero paralizzare i sistemi IT e bloccare le attività.
Altre informazioni chiave:
- Il 13% del malware isolato via e-mail ha aggirato almeno uno scanner del gateway
- Sono state utilizzate 136 diverse estensioni di file nei tentativi di infettare le aziende.
- Il 77% dei malware rilevati è stato diffuso tramite e-mail, mentre i download web sono stati la causa del restante 13%.
- Le minacce più importanti che sono state isolate includono:
- Una campagna mirata che utilizza file PowerPoint Add-In (.ppa) dannosi per fornire il RAT AgentTesla, consentendo agli hacker di spiare e persino assumere il controllo degli endpoint compromessi
- Una campagna di email phishing MirrorBlast progettata per diffondere il trojan FlawedGrace Remote Access, che condivideva i TTP con il famigerato gruppo di cybercriminali TA505
- È stato scoperto un sito web di installazione di Discord contraffatto, che induceva i visitatori a scaricare l’infostealer RedLine e a rubarne le credenziali.
Per proteggersi dall’incremento di malware .xll, le aziende devono configurare i gateway di posta elettronica per bloccare gli allegati .xll in entrata, autorizzare solo gli add-in certificati da partner fidati e disabilitare completamente gli add-in proprietari. Anche se i criminali informatici intensificano la collaboration e implementano malware sempre più nascosti è fondamentale per le aziende adottare i principi Zero Trust per eliminare l’area di attacco accessibile.
In questo scenario, HP Wolf Security fornisce alle aziende il supporto necessario per difendersi dai numerosi nuovi attacchi e rischi che dovranno affrontare nel 2022. HP Wolf Security assicura che il malware sia reso innocuo attraverso il contenimento delle minacce, la riduzione della superficie di attacco raggiungibile garantendo la sicurezza contro i più comuni canali di attacco: e-mail, browser e download.