Animazioni credibili per ingannare gli utenti: HP svela le tecniche di hacking più evolute

Animazioni professionali e credibili per ingannare gli utenti; malware kit facili da usare in vendita; l'uso di Discord per ospitare i malware per evitare di realizzare infrastrutture dedicate. Sono solo alcune delle tecniche di hacking segnalate dall'ultima edizione del Threat Insights Report di HP. Dall'analisi emergono due aspetti interessanti: da un lato, gli attaccanti si adattano rapidamente ai nuovi sistemi di sicurezza, cercando di aggirarli ingannando gli utenti. Dall'altro, grazie alla diffusione di strumenti di hacking facili da usare, anche persone prive di competenze specifiche possono portare avanti campagne malevole. 

Un finto sito governativo per distribuire il malware PureRAT

Basandosi sui dati della suite HP Wolf Security, i ricercatori di HP hanno individuato una serie di campagne di hacking molto pericolose. Una di queste era basata sull'invio di finte mail dalla Procura della Colombia, che reindirizzava le vittime verso un sito controllato dagli attaccanti.

Un sito molto curato, con animazioni realizzate in maniera professionale che invitavano ad aprire un file protetto da password. Chi cadeva nella trappola e apriva il file, si ritrovava a installare suo malgrado una DLL che a sua volta attivava il malware PureRAT, dando così totale controllo del computer ai criminali informatici.

Una campagna estremamente ben congegnata e in grado di sfuggire ai sistemi anti intrusione: secondo i ricercatori di HP, solo il 4% di questi tentativi di attacco venivano correttamente individuati dagli antivirus.

Occhio agli aggiornamento di Adobe PDF

Il lettore di PDF di Adobe è una delle applicazioni più utilizzate in qualsiasi ambito. Praticamente, è un software presente sulla quasi totalità dei computer. Un software che si aggiorna con grande frequenza, e quindi difficilmente desta sospetti se viene richiesta l'azione dell'utente per scaricare l'ultima versione del lettore.

HP ha rilevato una campagna di attacco che si basava proprio su falsi aggiornamenti, facendo leva su un'animazione praticamente indistinguibile da quella usata dal software originale. In realtà, chi veniva spinto a scaricare questo aggiornamento si trovava a installare a sua insaputa ScreenConnect, un software lecito per il controllo remoto del desktop, che però consentiva agli attaccanti di prendere il controllo dei dispositivi delle vittime. 

Perché realizzare un'infrastruttura per il malware quando puoi usare Discord?

Solitamente, i criminali informatici mettono in piedi le proprie infrastrutture per distribuire i malware alle loro vittime. Più recentemente, però, alcuni gruppi hanno affinato le proprie tecniche, sfruttando domini come Discord per ospitare i propri malware. Il vantaggio è che questi domini sono considerati molto affidabili e, di conseguenza, grazie alla reputazione molto alta, è più facile riuscire ad aggirare i controlli dei sistemi di sicurezza.

Nello specifico, alcuni gruppi hanno sfruttato Discord per distribuire un malware che in prima battuta modificava le impostazioni relative a Memory Integrity di Windows 11 così da installare Phantom Stealer, un malware distribuito a pagamento in grado di sottrarre credenziali. Come detto, Phantom Stealer viene venduto su marketplace pirata ed è un software che viene costantemente aggiornato per poter superare anche le più recenti soluzioni di sicurezza.

"In un momento in cui le minacce informatiche evolvono con una velocità senza precedenti, il nostro obiettivo è consentire a dipendenti e aziende di lavorare in sicurezza, senza interrompere la loro operatività", commenta Giampiero Savorelli, VP e AD di HP Italy. "I dati del nuovo Threat Insights Report mostrano chiaramente come i criminali sfruttino tecniche sempre più sofisticate e credibili per ingannare gli utenti. Per questo investiamo costantemente in soluzioni come HP Wolf Security, che isolano i rischi alla fonte e aiutano le aziende a proteggere ciò che conta davvero: la continuità del business, la fiducia dei clienti e il valore dei propri dati".