Altra falla su Adobe FlashPlayer, si installa uno spyware

Kaspersky Lab ha individuato un nuovo exploit zero-day (vedi spiegazione paragrafo successivo) di Adobe Flash, utilizzato il 10 ottobre per un attacco da un gruppo criminale noto come BlackOasis. L’exploit viene diffuso tramite un documento di Microsoft Word e implementa FinSpy, il malware con obiettivi commerciali. Kaspersky Lab ha prontamente segnalato la vulnerabilità ad Adobe, che ha rilasciato una segnalazione.

(in informatica si definisce zero-day qualsiasi vulnerabilità di sicurezza non pubblicamente nota e il programma detto “exploit” che sfrutta questa vulnerabilità per eseguire azioni non normalmente permesse nel sistema in questione. Vengono chiamati 0-day proprio perché lo sviluppatore ha zero giorni per riparare la falla nel programma prima che qualcuno la possa sfruttare. Nel momento in cui il bug viene risolto, lo 0-day perde la sua importanza perché non può più essere usato contro quel sistema)

Secondo i ricercatori di Kaspersky Lab, lo zero-day CVE-2017-11292 è stato rilevato durante l’attacco. È importante che imprese e organizzazioni governative installino prima possibile l’aggiornamento di Adobe.

I ricercatori ritengono che il gruppo che si nasconde dietro questo attacco sia lo stesso responsabile dello zero day CVE-2017-8759 rilevato a settembre e sono certi che si tratti del gruppo BlackOasis, che il Global Research and Analysis Team monitora dal 2016.

L’analisi rivela che, subito dopo aver sfruttato con successo la vulnerabilità, il malware FinSpy (noto anche come FinFisher) viene installato nel computer di destinazione. FinSpy è un malware con obiettivi commerciali, tipicamente venduto a stati-nazioni e forze dell’ordine per la sorveglianza. In passato, il malware veniva utilizzato dalle forze dell’ordine a livello nazionale per la sorveglianza di obiettivi locali. BlackOasis è un’eccezione significativa perché è stato utilizzato contro una vasta gamma di obiettivi in tutto il mondo. Questo potrebbe indicare che FinSpy stia effettuando operazioni di intelligence di un Paese contro un altro. Le aziende che sviluppano software di sorveglianza come FinSpy rendono questa corsa agli armamenti possibile.

Il malware utilizzato nell’attacco è la versione più recente di FinSpy, dotata tecniche di anti-analisi utilizzate per rendere più difficile il lavoro di analisi forense.

Dopo l’installazione, il malware stabilisce un punto d’appoggio sul computer attaccato e si connette ai server di comando e controllo ubicati in Svizzera, Bulgaria e Paesi Bassi per aspettare ulteriori istruzioni e esfiltrare i dati.

Basandosi sulla valutazione di Kaspersky Lab, gli interessi di BlackOasis riguardano un’ampia gamma di personaggi coinvolti che appartengono allo scenario politico del Medio Oriente, tra cui personaggi importanti delle Nazioni Unite, blogger e attivisti dell’opposizione, nonché giornalisti corrispondenti. Sembrano inoltre interessati a settori verticali di particolare rilevanza per la regione. Nel corso del 2016, i ricercatori dell’azienda hanno osservato un forte interesse per l’Angola, dimostrato da documenti “esca” che indicavano obiettivi con presunti legami con settori quali petrolio, riciclaggio di denaro e ad altre attività. È stato osservato anche un interesse nei confronti di attivisti internazionali e gruppi di esperti.

Le vittime di BlackOasis sono state identificate in Paesi quali: Russia, Iraq, Afghanistan, Nigeria, Libia, Giordania, Tunisia, Arabia Saudita, Iran, Paesi Bassi, Bahrein, Regno Unito e Angola.

“L’attacco scoperto di recente che utilizza l’exploit zero-day è il terzo in cui viene distribuito un FinSpy attraverso un exploit di vulnerabilità zero-day. In precedenza, i gruppi criminali che hanno diffuso questo malware hanno sfruttato criticità all’interno dei prodotti Microsoft Word e Adobe. Crediamo che il numero di attacchi come quello descritto, che si basano sul software FinSpy, e che sono supportati da exploit zero-day, continuerà a crescere”, ha dichiarato Anton Ivanov, the Lead Malware Analyst Kaspersky Lab.

Gli esperti di Kaspersky Lab consigliano alle organizzazioni di intraprendere le seguenti azioni per proteggere i propri sistemi e i propri dati da questo tipo di minacce:

  • Qualora non sia stato ancora implementato utilizzare la funzionalità killbit per il software Flash e, se possibile, disabilitarlo completamente.
  • Implementare una soluzione di sicurezza avanzata e multistrato che copra tutte le reti, i sistemi e gli endpoint.
  • Educare e formare il personale sulle tattiche di ingegneria sociale poiché questo metodo viene spesso utilizzato per convincere le vittime ad aprire un documento dannoso o fare clic su un collegamento infetto.
  • Effettuare valutazioni di sicurezza regolari dell’infrastruttura IT dell’organizzazione. (fonte)

You may also like...