Sommario
Gli analisti della CERT-AgID segnalano una nuova ondata di campagne malware che sfrutta lo spazio di storage degli account di posta elettronica come vettore di distribuzione per XWorm e KATZ Stealer, due dei trojan più aggressivi del panorama cybercrime attuale. Questa strategia, sofisticata e in costante evoluzione, punta a eludere le difese tradizionali dei gateway email e dei sistemi antivirus, agendo direttamente sulle piattaforme di webmail delle vittime.
Modalità di attacco: link malevoli e payload nascosti nello storage cloud
Le campagne individuate sfruttano lo storage cloud associato agli account di posta elettronica, spesso in ambienti aziendali con spazio condiviso, per depositare file eseguibili o archivi compressi contenenti i malware. I messaggi inviati agli utenti contengono link apparentemente legittimi che rimandano a documenti conservati nello spazio personale o condiviso della casella, aggirando così i controlli antispam che si focalizzano sulle URL esterne o sui classici allegati. Una volta eseguito il file, XWorm o KATZ Stealer si installano nel sistema, iniziando immediatamente a raccogliere dati sensibili, credenziali e informazioni di sistema.
XWorm: remote access, persistence e moduli di attacco evoluti
XWorm è uno strumento di remote access estremamente modulare, in grado di installare moduli aggiuntivi, eseguire comandi remoti, rubare credenziali, scaricare altri payload e disattivare software di sicurezza. La persistenza viene garantita tramite tecniche di autoavvio e manipolazione delle chiavi di registro, mentre le funzioni di exfiltration vengono adattate in base alla configurazione individuata sulla macchina colpita.
KATZ Stealer: furto dati e focus su credential harvesting
KATZ Stealer si focalizza sul furto di credenziali, password e dati di sessione da browser, client FTP, email e software di messaggistica. Il malware utilizza funzioni di keylogging e può inviare rapidamente tutte le informazioni raccolte ai server di comando e controllo, rendendo il recupero delle identità compromesse particolarmente difficile per le vittime.
Prevenzione e mitigazione
L’uso degli spazi cloud come strumento di attacco conferma la necessità di rivedere le policy di gestione dei file nelle caselle di posta, monitorare i link interni e aggiornare costantemente le regole di filtraggio a livello di endpoint e gateway. La formazione del personale e la sensibilizzazione verso i rischi connessi all’apertura di file anche all’apparenza “interni” sono fattori decisivi per limitare la diffusione di queste minacce.
