Cerca nel blog

giovedì 18 gennaio 2018

Le spie di Turla sfruttano Adobe per diffondere i loro malware







Le spie di Turla sfruttano Adobe per diffondere i loro malware
 
Per ingannare l'ignaro utente, il falso programma di installazione esegue il download e avvia un'applicazione legittima di Flash Player

Roma, 18 gennaio 2018 – I ricercatori ESET hanno scoperto che il famigerato gruppo di spie informatiche Turla, probabilmente appoggiato dal governo russo, sta utilizzando un nuovo strumento nelle ultime campagne indirizzate alle ambasciate e ai consolati negli stati dell'ex unione sovietica. Questo nuovo tool cerca di ingannare le vittime nel tentativo di installare un malware in grado di sottrarre le informazioni sensibili ricercate dal gruppo Turla.
Da sempre queste spie digitali utilizzano l'ingegneria sociale per ingannare gli utenti e condurli all'esecuzione di falsi programmi di installazione di programmi noti come ad esempio Adobe Flash Player. Pur conservando nel tempo lo stesso modus operandi, il gruppo ha escogitato nuovi mezzi per raggiungere i propri scopi, proprio come dimostra l'ultima ricerca ESET.
Attualmente i criminali stanno distribuendo una backdoor presentandola come un legittimo programma di installazione di Flash Player, ma in quest'occasione hanno aggiunto URL e indirizzi IP che sembrano realmente appartenere ad Adobe, inducendo le vittime a credere di scaricare il software direttamente dal sito adobe.com.
Le campagne che hanno sfruttato questo nuovo strumento sono iniziate già dal luglio del 2016 e presentano numerosi segni distintivi riconducibili al gruppo tra cui Mosquito, una backdoor ideata dallo stesso gruppo di spie, e l'uso di indirizzi IP precedentemente collegati al gruppo.

Vettori di attacco

I ricercatori di ESET hanno diverse ipotesi sulle modalità con cui viene diffuso il malware legato a Turla. Certamente si può escludere a priori un coinvolgimento di Adobe. Non è noto come il malware di Turla abbia alterato gli aggiornamenti legittimi di Flash Player, né se sfrutti delle vulnerabilità di prodotti Adobe noti. È stata scartata anche la possibilità che il sito per il download di Adobe Flash Player sia stato compromesso.
I possibili vettori di attacco che i ricercatori ESET hanno considerato sono:

·         Una macchina all'interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale.
·         I criminali potrebbero compromettere il gateway di rete di un'azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l'intranet di questa organizzazione e Internet.
·         L'intercettazione del traffico potrebbe anche verificarsi a livello di provider dei servizi Internet (ISP), una tattica che – come evidenziato dalla recente ricerca ESET nelle campagne di sorveglianza che utilizzano spyware FinFisher – non è impossibile.
·         Le spie avrebbero potuto utilizzare anche un dirottamento BGP (Border Gateway Protocol) per reindirizzare il traffico a un server controllato da Turla, anche se questa tattica avrebbe probabilmente insospettito immediatamente i servizi di controllo Adobe o BGP.

Una volta scaricato e avviato il falso programma di installazione di Flash, viene automaticamente installata una delle backdoor del gruppo. Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un'app Web ospitata su Google Apps Script.    
ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete ed un controllo periodico sui sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l'identificazione euristica dei malware.

Per ulteriori informazioni sull'argomento è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/01/le-spie-di-turla-sfruttano-adobe-per-diffondere-i-loro-malware/

Elisabetta Giuliano
Communication Consultant
mobile: +3289092482










































Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota