Malware: da JavaScript a PowerShell ed SVG

Le restrizioni agli allegati JavaScript hanno portato gli hacker a puntare su estensioni meno sospette. Alcuni dettagli sugli ultimi malware.

Il Malware Protection Center blog di Microsoft è tornato recentemente sul tema delle campagne malware che a scadenze irregolari interessano privati ed aziende. Nel corso del 2016, osservano gli esperti di sicurezza, il metodo più diffuso per la distribuzione di malware è stato mediante l’invio di file JavaScript (.JS) via posta elettronica.

Nessun metodo di attacco resta tuttavia efficace a lungo (salvo non curanza degli utenti). Se si considerano poi le imminenti restrizioni ai file .JS in Gmail, è chiaro come il sopraggiungere di inedite tecniche fosse solo questione di tempo.

Per essere più precisi alcuni “segnali” di quel che sarebbe venuto erano già stati captati dal team Microsoft lo scorso Ottobre 2016, quando  furono registrati alcuni casi di infezione (ransomware Loki) innescati dall’apertura di file con apparentemente innocua estensione .LNK – sempre allegati a messaggi di posta elettronica. I file .LNK celavano in realtà uno script PowerShell malevolo che entrava automaticamente in funzione all’apertura del file stesso: la task affidata allo script è intuibile, ovvero il download, installazione ed esecuzione di Loki (o equivalente) nel PC bersaglio.

Malware e script PowerShell malevoli

Uno dei “modelli” utilizzati per diffondere malware via posta elettronica – Fonte: Microsoft Malware Protection Center

A distanza di alcuni mesi lo script PowerShell è ricomparso online: nel caso di destinatari statunitensi, si inscena l’invio di un messaggio da parte di una compagnia di spedizioni e la mancata consegna di un pacco. Per avere ulteriori dettagli, l’utente è invitato a consultare il documento allegato (file .LNK all’interno di un archivio), azione che innesca il processo descritto in precedenza – cambia solo il malware installato, Loki è sostituito da Kovter.

Attacchi “fileless” ed il ritorno di JavaScript

Un’ulteriore evoluzione degli attacchi basati su scripting PowerShell è stata individuata dai ricercatori dell’Intel Security Team che hanno soprannominato la tecnica “fileless”, in quanto in grado di eseguire il codice direttamente in memoria senza ricorrere ad alcuna scrittura su disco ed alla creazione di file – espediente che elude sistemi di protezione basati sull’individuazione di file sospetti. Una volta eseguito, lo script è inoltre in grado di bypassare eventuali policy di sicurezza restrittive (impostate solitamente per prevenire tali rischi) modificandole in base alle proprie esigenze.

Nonostante i file .JS siano finiti sotto i riflettori, gli hacker non hanno rinunciato del tutto al loro impiego. Una insospettabile estensione associata solitamente alle immagini, .SVG (Scalable Vector Graphics), è stata convertita con successo alla causa in quanto in grado di ospitare al suo interno codice JavaScript. I file .SGV, ricordano i ricercatori, sono infatti dei file basati su XML che possono essere aperti e modificati grazie ad un semplice editor di testo. Così l’utente di turno, convinto di aprire un file innocuo, attiva inavvertitamente lo script. La buona notizia è che i file .SVG individuati sono riconosciuti dalla maggior parte degli antivirus. Le probabilità che giungano altre varianti sconosciute è comunque alta, conclude un esperto SANS ISC InfoSec.

Fonti: 1, 2, 3, 4

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *