Come per tutti i temi di grande attualità, anche per Ebola sono partite massicce campagne di phishing che mirano a sfruttare la sensibilità all'argomento in questione per ottenere elevati ritorni in termini di click.
I Security Labs di Websense, in particolare, hanno rilevato due diverse campagne malevole che traggono vantaggio dal problema Ebola: "Sappiamo che i criminali, fingendosi la World Health Organization, una fonte di informazione affidabile e conosciuta a livello mondiale, e utilizzando la minaccia del virus Ebola, stanno usando forti tattiche di social engineering per convincere le vittime a cliccare", afferma Ferdinando Mancini, Senior Sales Engineering Manager di Websense.
Il manager italiano mette in guardia da questi attacchi sia i consumatori sia le imprese, che dovranno tutelarsi con le soluzioni di sicurezza opportune.
Il phishing usa tutti i tag più cercati
Una variante delle campagne rilevate dagli esperti di Websense era indirizzata a esponenti e impiegati di Nato e Unione Europea. In particolare, nella campagna Sandworm, viene sfruttata la vulnerabilità codificata come CVE-2014-4114 scoperta da iSight.
CVE-2014-4114 può consentire l'esecuzione di un codice remoto se un utente apre un file Microsoft Office appositamente predisposto contenente un oggetto OLE. La vulnerabilità è presente in tutte le release supportate di Microsoft Windows, a eccezione di Windows Server 2003.
Poiché la vulnerabilità non provoca la corruzione della memoria, che invece può essere causata in shellcode, e fa parte della categoria "errore di progettazione", i metodi di protezione come DEP e ASLR non risultano efficaci.
Campagna DarkKomet RAT/Backdoor
A partire dal 10 ottobre 2014, Websense ThreatSeeker Intelligence Cloud ha rilevato migliaia di email malevole che usano L'Ebola come esca l'Ebola. L'oggetto tipico è: "Ebola Safety Tips-By WHO", ma le varianti possono essere diverse, così come, probabilmente, arriveranno anche in italiano.
All'inizio della campagna, il messaggio conteneva un URL di reindirizzamento che puntava al download di un archivio RAR contenente DarkKomet RAT/Backdoor. Quest'ultimo è un Remote Administration Tool (RAT), che fornisce un accesso completo a client remoti. Nelle email più recenti, la campagna si è evoluta, includendo un allegato con file eseguibili e poi allegando direttamente un archivio RAR contenente i file eseguibili.
Email malevola apparentemente proveniente dall'OMS con allegato RAR
Websense ThreatScope ha rilevato due varianti di questa campagna le cui analisi sono rispettivamente riportate nei report DarkKomet1 e DarkKomet2.
Le vulnerabilità OLE si articolano
Gli esperti di Websense hanno rilevato che l'argomento Ebola è stato utilizzato ampiamente in combinazione alla vulnerabilità CVE-2014-4114, per esempio, con un file di Power Point. In particolare, un file "Ebola in American.pps", è stato sfruttato per scaricare ed eseguire il payload da un indirizzo remoto via protocollo SMB, che il più delle volte non consente di connettersi a indirizzi Internet pubblici.
Poco dopo la CVE-2014-4114, è stata scoperta CVE-2014-6532, un'altra vulnerabilità molto simile che colpisce gli oggetti OLE. Mentre Microsoft ha rilasciato una patch per CVE-2014-4114, ancora manca, al momento in cui scriviamo, quella per CVE-2014-6532.
È però possibile individuare CVE-2014-6352 utilizzando Yara.
Gli esperti dei Security labs, in particolare, riportano una regola di Yara che può essere eseguita contro i file Microsoft Office per far emergere la vulnerabilità. La regola, viene specificato, potrebbe utilizzare alcune modifiche ed espansioni per includere i file INF.
regola cve_2014_6352
{
strings:
$rootentry = {52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 16 00 05 00 ff ff ff ff ff ff ff ff 01 00 00 00}
$ole10native = {4F 00 ( 4C | 6C ) 00 ( 45 | 65 ) 00 31 00 30 00 4E 00 61 00 74 00 69 00 76 00 65 00 00}
$c = "This program cannot be run in DOS mode"
condizione:
($rootentry or $ole10native) and $c
}
