Identificati TA2726 e TA2727, due gruppi che usano falsi update per distribuire malware, tra cui FrigidStealer, contro i sistemi Mac.
Autore: Redazione SecurityOpenLab
I falsi aggiornamenti rappresentano un’esca sempre più diffusa tra i cybercriminali. Come suggerito dalla definizione, si tratta di malware camuffato da update di browser e di applicazioni diffuse e legittime. Tipicamente, gli attacchi sfruttano l'iniezione di codice malevolo in siti web compromessi e inducono le vittime a scaricare il malware. Nell’ampio panorama del Cybercrime-as-a-Service, ci sono figure specializzate proprio nella produzione e vendita di falsi aggiornamenti.
Su questo profilo “professionale” si è concentrata una ricerca condotta da Proofpoint, che ha portato all’identificazione di due nuovi threat actor: TA2726 e TA2727. Entrambi sfruttano i falsi aggiornamenti per distribuire vari payload malevoli, tra cui un nuovo malware per macOS chiamato FrigidStealer, che è ritenuto particolarmente insidioso in quanto consente agli attaccanti di sottrarre informazioni sensibili dagli utenti Mac.
Il principale responsabile delle campagne di web inject è da sempre identificato come TA569; il suo modus operandi consiste nell’uso del malware SocGholish per infettare i sistemi degli utenti attraverso falsi aggiornamenti del browser. A partire dal 2023 sono emersi numerosi imitatori che adottano tecniche simili di iniezione di codice e reindirizzamento del traffico, finalizzate alla diffusione di malware. Questa proliferazione complica l'attribuzione e il tracciamento delle campagne malevole.
La catena di attacco tipica di queste campagne è composta da tre fasi: l'iniezione di codice malevolo nei siti web compromessi (spesso sotto forma di script JavaScript); l'uso di un servizio TDS per individuare il miglior payload da spedire a un determinato target; il download del payload malevolo stesso sul dispositivo della vittima. L’efficacia di questa implementazione risiede nell’attuazione di tecniche di ingegneria sociale credibili e personalizzate, che portano gli utenti a fidarsi dei siti web legittimi che visitano regolarmente. Inoltre, le organizzazioni spesso hanno un controllo limitato sulla sicurezza dei loro siti web, specialmente quando la gestione è affidata a provider di hosting di terze parti, aumentando il rischio di compromissione.
Sopra abbiamo accennato alla collaborazione nell'ecosistema delle minacce. Non è un tema inedito, ma man mano che si approfondisce l’argomento si comprende che si tratta di un aspetto rilevante: per poter sviluppare strategie di difesa efficaci, è ormai chiaro che i difensori debbano studiare e comprendere il complesso intreccio di relazioni e dinamiche per la cooperazione e per la competizione tra i gruppi criminali. Per esempio, nell’ambito della catena di attacco sopra descritta non è detto che l'intera catena di attacco sia gestita dallo stesso threat actor: sono molti i casi in cui i diversi anelli della catena sono gestiti da attori differenti.
Peraltro, il lavoro di monitoraggio di Proofpoint ha portato a comprendere che le tattiche e tecniche come quelle appena descritte sono in aumento, forse a causa del rafforzamento delle difese aziendali contro le minacce tradizionali, che ha costretto gli attaccanti ad adattarsi e a cercare nuovi vettori di attacco.