Tecnologia

SambaSpy: un nuovo trojan che minaccia in particolare gli utenti italiani. I consigli dell’esperto di Kaspersky su come proteggersi

Negli ultimi anni, la crescente sofisticazione degli attacchi informatici ha messo in luce quanto sia cruciale una strategia di cybersecurity mirata ed efficace. L’ultima scoperta del Global Research and Analysis Team (GReAT) di Kaspersky, il trojan SambaSpy, conferma questa tendenza. Destinato esclusivamente agli utenti italiani, SambaSpy rappresenta una minaccia particolarmente insidiosa. A differenza di altri malware, solitamente pensati per colpire più Paesi, SambaSpy si distingue per la sua precisione: prende di mira solo sistemi configurati in lingua italiana, con capacità avanzate come il controllo remoto del desktop, il furto di password e la gestione dei file.

Per approfondire le implicazioni di questa scoperta e comprendere meglio la natura della minaccia, abbiamo intervistato Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT. In questa intervista, Dedola ci fornisce un’analisi dettagliata su SambaSpy, illustrando come gli aggressori siano riusciti a creare una campagna così specifica e cosa gli utenti e le aziende italiane possano fare per proteggersi da simili attacchi.

La campagna SambaSpy è rivolta esclusivamente agli utenti italiani. Cosa pensa che abbia spinto gli attaccanti a concentrare i loro sforzi su questa regione comunque non particolarmente popolosa?
In questo caso è doveroso fare una premessa: anzitutto noi abbiamo sempre una visibilità parziale, non conosciamo il contesto degli attaccanti e delle vittime, poiché lavoriamo sullo strumento stesso. Possiamo comunque fare delle ipotesi, partendo dal presupposto che stiamo parlando di criminali che hanno come unico scopo la monetizzazione.

Il nostro paese risulta comunque tra i paesi più ricchi al mondo, inoltre va considerata la questione linguistica: noi sappiamo che diverse minacce che partono dall’America Latina spesso si rivolgono ai Paesi Europei, soprattutto nel Sud Europa, come Spagna Italia e Portogallo, poiché hanno un’assonanza linguistica con le lingue parlate in Sud America.

Quali sono le caratteristiche tecniche che rendono SambaSpy un malware particolarmente sofisticato rispetto ad altri Remote Access Trojan?
SambaSpy è un malware che merita particolare attenzione poiché ha tantissime funzionalità che permettono il controllo totale della macchina. Una volta installato l’attaccante ha pieno accesso al PC, può fare letteralmente tutto avendo visione a schermo dell’attività dell’utente.

Sebbene queste siano funzionalità che abbiamo osservato in altri RAT, l’aspetto più interessante di questa campagna è proprio il fatto che l’attaccante (in vari step) effettui dei controlli che vadano a scremare e a prendere di mira gli utenti italiani. Dunque oltre ad essere un RAT sviluppato da zero in maniera particolarmente sofisticata, impiegando particolare impegno nel suo sviluppo, gli attaccanti hanno prestato molta attenzione nella catena d’infezione targetizzando l’utenza italiana.

La catena di infezione descritta sembra molto complessa. Può spiegare come i cybercriminali utilizzano email di phishing e servizi cloud legittimi per indurre gli utenti a scaricare il trojan?
Andiamo a “sviscerare” ogni step dell’attacco. L’utente riceve un’email contenente un link per visualizzare un documento o una fattura che avrebbe dovuto ricevere; una volta cliccato il link viene reindirizzato ad un primo sito malevolo che svolge la prima validazione dove i target non d’interesse vengono spostati verso il sito legittimo dove l’utente può scaricare il suo documento o fattura, mentre il gruppo di utenti “in target” viene spostato su un ulteriore sito malevolo dove avviene un’altra verifica attraverso uno script che estrapola alcuni dati della vittima come il browser che sta utilizzando e se la lingua utilizzata è quella italiana. Una volta comprese queste due informazioni gli utenti vengono dirottati verso un file PDF ospitato su One Drive che, una volta cliccato per poterlo scaricare, porta l’utente a scaricare il malware attraverso un downloader scritto in Java che, una volta eseguito, effettua un’ulteriore verifica ossia che non si stia utilizzando una virtualizzazione (spesso utilizzata dagli analisti) e che il sistema sia in lingua italiana.

Sembra un processo infinito, ma ai fatti bastano 30 secondi e tre click per consentire agli attaccanti l’accesso completo alla propria macchina: basta aprire la mail, cliccare il primo link, spostarsi su One Drive e scaricare il file proposto.

Quali misure di sicurezza consiglia ai privati e alle aziende italiane per proteggersi da questa specifica minaccia e da attacchi simili in futuro?

Giampaolo Dedola

È importante sottolineare che sia privati che aziende sono potenziali vittime di questo tipo di attacco, anche se il focus principale sono sicuramente le informazioni degli utenti. Se poi queste informazioni sono estrapolate da un contesto rilevante come un’azienda possono poi diventare vettore per ulteriori minacce.

Dal punto di vista dei privati è opportuno fare affidamento sulle soluzioni di sicurezza che, dal punto di vista tecnologico, si rivelano estremamente efficaci in questo senso poiché sono in grado di rilevare le minacce già dopo poche ore o giorni, riducendo la finestra temporale attraverso la quale gli attaccanti possono effettuare manovre efficaci.

Per quel che riguarda le aziende si parte sì dalle soluzioni di sicurezza proposte, ma bisogna dare più valore alla sensibilizzazione degli utenti, investendo nella formazione del personale, aiutando dunque i dipendenti a comprendere il rischio, capire gli atteggiamenti da seguire per evitare di esporsi ulteriormente agli attacchi informatici come ad esempio riconoscere le mail di phishing o di spare phishing. Insomma è fondamentale prevenire quanto più possibile attraverso degli adeguati corsi di “Security Awareness” proposti sia da Kapersky così come da altre aziende di settore che hanno come obiettivo proprio quello di aumentare la sensibilità del dipendente nei confronti delle minacce alla sicurezza informatica.

Ci sono strumenti che permettono di creare internamente finte campagne di phishing (quindi non dannose per l’azienda) atte a testare la reattività e la sensibilità dei dipendenti rispetto ad un attacco di quel tipo per aiutare dunque a comprendere “sul campo” di cosa si tratta nello specifico.

SambaSpy utilizza un sofisticato meccanismo di caricamento di plugin durante l’esecuzione. Quanto è comune questa tecnica tra i malware moderni e quali rischi aggiuntivi comporta per le vittime?
Si tratta di una tecnica abbastanza comune nel contesto dei malware, e ciò è un problema perché non solo gli attaccanti controllano tutta la macchina, ma hanno accesso senza problemi a dati sensibili e, in contesti aziendali, trovano l’occasione per allargarsi e caricare altri moduli più specializzati nella compromissione del contesto aziendale. Il problema della possibilità di caricamento di altre funzioni malevole per il difensore è capire quale sia la finalità dell’attaccante, perché da difensore sai che sicuramente un determinato malware può agire in determinati modi, ma non sai se nel mentre ha agito altrove.

Nell’ottica della cyber security e del cyber crime, l’Intelligenza Artificiale che ruolo gioca?
L’intelligenza artificiale avrà un ruolo come lo ha già ora. L’IA viene utilizzata in primis per facilitare l’attività d’infezione attraverso la generazione delle mail: con l’arrivo dei nuovi strumenti legati all’IA anche le mail di phishing risultano più realistiche e scarne di errori grammaticali che rendono le mail molto più credibili.

Dal punto di vista della difesa, noi utilizziamo l’Intelligenza Artificiale da anni. Senza di essa non riusciremmo a contrastare l’elevato numero di minacce che ci sono e parliamo di 400.000 malware al giorno che sarebbero obiettivamente ingestibili senza questo tipo di tecnologia. Utilizziamo diversi algoritmi legati al machine learning che ci consentono di categorizzare i file in maniera efficiente, rendendo quindi il nostro lavoro più efficace.

Kaspersky ha suggerito alcune best practice per migliorare la sicurezza delle aziende. Quali sono le principali sfide che le organizzazioni italiane devono affrontare nell’implementazione di queste raccomandazioni?
Le questioni più difficili da trattare sono sicuramente legate al fattore umano e alla sensibilizzazione dell’utente ma anche alla dinamicità del sistema dell’azienda. Il sistema delle aziende (sia grandi che piccole) cambia e muta in continuazione: cambiano gli asset, oppure vengono sostituiti e generano nuove vulnerabilità. Mantenere visibilità su tutte le infrastrutture, sugli aspetti di comunicazione, sulle singole macchine e device rappresenta un’enorme sfida.

Un altro problema legato alle aziende più grandi che vogliono creare una struttura di sicurezza interna è legato alle competenze: anzitutto è difficile trovare le figure adeguate che vanno continuamente formate, inoltre va stanziato un budget adeguato.

Ci sono altri consigli che vuole dare ai nostri lettori o delle questioni di particolare importanza?
Quello che più mi ha colpito di questa campagna malware è stato il fatto che l’attaccante ha trovato su un sito una fattura legittima di un’azienda e partendo da essa ci ha costruito tutta la campagna, registrando dozzine di domini e mandando centinaia di mail utilizzando il nome di quell’azienda, il tutto partendo da una singola fattura legittima. Questo dà molto a cui pensare sull’esposizione online di piccole e grandi aziende, che dovrebbe portare a trattare il tema del brand reputation, monitorando online su come viene utilizzato il loro marchio. Molte grandi aziende, come ad esempio le banche, tengono sotto stretto controllo come viene utilizzato il loro nome e provvedono a far chiudere il prima possibile qualsiasi attività malevola, mentre altre piccole/medie aziende può capitare che non se ne occupino sia per una questione di sensibilità sul tema, sia per un’eventuale mancanza di budget.