I file di archivio, come i formati .zip e .rar, sono ora il metodo più popolare per diffondere le infezioni da malware. I risultati di un rapporto di HP Wolf Security segnano la prima volta nei registri del vendor che i documenti di Microsoft Office non sono stati il formato di file più popolare per gli attacchi di malware. Il rapporto dell’azienda relativo al terzo trimestre mostra che i file di archivio hanno registrato una quota di attacchi pari al 42%, mentre Office è stato appena dietro, con il 40%. Il rapporto trimestrale Threat Insights Q3 2022 ha inoltre rilevato un’impennata significativa della popolarità degli archivi, il cui utilizzo è cresciuto del 22% rispetto al primo trimestre dell’anno. Secondo il team HP Wolf Security, la principale attrattiva dei file di archivio per gli attori delle minacce è che sono più difficili da rilevare. “Gli archivi sono interessanti per gli attori delle minacce perché sono facilmente crittografati, rendendo difficile il rilevamento del malware da parte di proxy web, sandbox e scanner di posta elettronica”, spiega il rapporto. “Inoltre, molte organizzazioni utilizzano gli archivi crittografati per motivi legittimi, rendendo difficile rifiutare gli allegati di posta elettronica crittografati per policy”. Alex Holland, analista senior di malware presso HP, ha dichiarato all’editoriale di TechTarget che l’allontanamento dai file Office probabilmente continuerà, con Microsoft che sta facendo la sua parte per bloccare il formato. “La tendenza ad abbandonare i file di Office è in atto da febbraio di quest’anno, quando Microsoft ha inasprito i criteri delle macro predefinite in Office, rendendo più difficile per gli aggressori l’esecuzione di malware dai documenti”, ha spiegato Holland via e-mail.
“Da allora, abbiamo visto un numero maggiore di attori delle minacce, come quelli che distribuiscono QakBot e IcedID, passare a formati di distribuzione alternativi, come i collegamenti a Windows (LNK), le ISO, i file HTML e gli archivi crittografati”. Oltre all’aumento dei file di archivio, HP Wolf Security ha registrato un aumento di quelli che chiama attacchi “HTML smuggling”, che, allo stesso modo, possono eludere le regole di sicurezza utilizzando tipi di file comuni. In questo scenario, all’utente viene presentato quello che sembra essere un file PDF, ma che in realtà è caricato con HTML. Aprendo il PDF, l’utente viene reindirizzato a una falsa pagina di downloader per un comune lettore come Adobe Acrobat. La pagina tenta quindi di offrire un file di archivio che contiene il payload del malware. I ricercatori hanno notato che un gruppo in particolare, QakBot, predilige la tecnica del contrabbando HTML per portare il proprio malware sui computer degli utenti finali. Il gruppo, che si era fermato durante l’estate, ha ricominciato a intensificare la sua attività. “QakBot è una famiglia di malware altamente capace che è stata utilizzata dagli attori delle minacce per rubare dati e distribuire ransomware”, si legge nel rapporto. “In particolare, la maggior parte di queste nuove campagne si basa sul contrabbando di HTML per infettare i sistemi, segnando un allontanamento dai documenti Office dannosi come meccanismo di distribuzione preferito da questa famiglia di malware”.
Infine, il team ha scoperto che un approccio retrò al ransomware sta tornando in auge. Magniber, conosciuto come un’operazione di “ransomware a singolo cliente”, fa i suoi soldi non prendendo di mira grandi organizzazioni e chiedendo riscatti multimilionari, ma cercando singoli PC, bloccando i dati e chiedendo agli utenti un pagamento di 2.500 dollari. Questa tecnica si rifà agli albori del ransomware, quando i singoli computer venivano presi di mira in massa con la speranza di ottenere un maggior numero di infezioni e di pagamenti di riscatti. Holland ha affermato che il passaggio al singolo cliente potrebbe essere adottato anche da altri gruppi. “Ogni attore delle minacce ha una serie di capacità e risorse diverse che influiscono sulle tattiche, le tecniche e le procedure che utilizza”, ha spiegato. “Prendere di mira i singoli individui con un ransomware single-client come Magniber richiede meno esperienza, quindi questo stile di attacco potrebbe interessare gli attori delle minacce con meno risorse e know-how, disposti ad accettare riscatti più bassi dalle vittime”.
