Scenario

Eset, da un messaggio LinkedIn al phishing

I ricercatori di Eset hanno scoperto attacchi informatici altamente mirati, noti per l’utilizzo di spear phishing basati su LinkedIn, con l’impiego di trucchi per non essere rilevati, con il duplice obiettivo di sottrarre dati riservati e ottenere un guadagno economico.

Gli attacchi, che Eset ha soprannominato Operazione In(ter)ception, sulla base del campione di malware correlato “Inception.dll,” hanno avuto luogo da settembre a dicembre 2019.

Le intrusioni avevano origine da un messaggio LinkedIn. «Il messaggio conteneva un’offerta di lavoro abbastanza credibile, apparentemente proveniente da società note in settori di rilievo. Naturalmente, il profilo LinkedIn era falso, e i file inviati all’interno della comunicazione erano dannosi» ha commentato Dominik Breitenbacher, che ha analizzato il malware e condotto l’indagine.

I file venivano inviati direttamente tramite messaggi LinkedIn o tramite posta elettronica contenente un collegamento OneDrive. Per quest’ultima opzione, gli aggressori avevano creato account di posta elettronica corrispondenti ai falsi profili LinkedIn.

linkedin open

Una volta che il destinatario apriva il file, visualizzava un documento PDF apparentemente innocuo con informazioni relative l’offerta di lavoro falsa. Contemporaneamente all’apertura del file, il malware si installava, senza essere rilevato, sul computer della vittima. In questo modo, gli aggressori riuscivano a stabilire una connessione al dispositivo delle vittime.

In un secondo momento, gli hacker effettuavano una serie di passaggi che Eset ha studiato e descritto nel white paper “Operazione In(ter)ception: attacchi mirati contro le società aerospaziali e militari europee.”

Tra gli strumenti utilizzati dagli aggressori c’era un malware multistadio personalizzato che spesso appare come un software legittimo, versioni modificate di strumenti open-source e tecniche del cosiddetto “Living off the land” che utilizzano impropriamente utility di Windows preinstallate per eseguire varie operazioni dannose.

«Gli attacchi che abbiamo studiato hanno mostrato tutti i segni dello spionaggio, con diversi indizi che suggeriscono un possibile collegamento con il famigerato gruppo Lazarus. Tuttavia, né l’analisi del malware né l’indagine ci hanno permesso di ottenere informazioni sui file a cui gli aggressori miravano» ha commentato Breitenbacher. Oltre allo spionaggio, i ricercatori hanno anche documentato che gli aggressori tentavano di utilizzare gli account compromessi per sottrarre denaro.

Tra le e-mail delle vittime, ad esempio, gli aggressori hanno trovato una comunicazione con un cliente relativa a una fattura non pagata. Seguendo lo scambio di comunicazioni si sono inseriti esortando il cliente al pagamento, ovviamente inserendo le proprie coordinate bancarie. Fortunatamente, in quel caso il cliente si è insospettito e ha contattato la vittima per ulteriori conferme, vanificando così il tentativo degli aggressori di portare a termine un cosiddetto “business email compromise attack”.

«Questo tentativo di monetizzare l’accesso alla rete delle vittime dovrebbe servire da incentivo per stabilire forti difese contro le intrusioni e fornire formazione sulla sicurezza informatica per i dipendenti. Questo permetterebbe di riconoscere tecniche di ingegneria sociale ancora meno conosciute, come quelle utilizzate nell’operazione In(ter)ception» ha concluso Breitenbacher.