Capita spesso che i miei utenti mi chiedano di valutare mail che sospettano essere phishing, prima di dare seguito o di aprire eventuali allegati. Questo lo considero un piccolo successo, nella mia carriera IT: tra il serio e il faceto dico spesso ai miei utenti che bisogna essere paranoici, oggi giorno, riguardo a ciò che si riceve via mail, per due motivi:
- L’utenza è il primo bersaglio dei malintenzionati, non i sistemi. Ma questo vuol dire che gli utenti sono anche la prima linea di difesa.
- I sistemi di filtraggio non possono intercettare tutto.
Quindi l’utenza non è solo un “oggetto” da proteggere ma parte attiva nella difesa dell’azienda. Deve esserlo necessariamente e deve essere formata e consapevole di questo tipo di responsabilità.
È un concetto sul quale in NuBeTech insistiamo non solo internamente, ma anche quando offriamo ai nostri clienti i nostri IT Managed Services: la formazione continua, la security awarness dell’utenza è cruciale, indispensabile, importante quanto un antivirus o un firewall.
L’esempio che riporto qui è emblematico ed è anche un tentativo abbastanza raffinato – non il più raffinato che abbia mai visto, ma sicuramente in top ten.
Innanzitutto arriva da una PEC, che tendiamo ad associare automaticamente a qualcosa di ufficiale, legittimo. La realtà è che non è che ci voglia molto, per dei malintenzionati, ad aprirsi una PEC.
Quindi primo messaggio, completamente passato ai miei utenti:
“Guardate sia alla FORMA che al CONTENUTO di una comunicazione”
Se mi arriva una mail da un indirizzo che ha come descrizione il nome e cognome del mio amministratore delegato che mi chiede di fornirgli il mio numero di cellulare per una comunicazione importante, le cose che mi devo domandare, in ordine crescente di importanza, sono:
- Ha senso che il mio amministratore delegato mi scriva per chiedermi il cellulare? Non poteva chiederlo all’HR? (chi è più insicuro potrebbe chiedersi: ma non lo conosce già? sono così insignificante? – e poi accucciarsi in posizione fetale sotto la scrivania)
- Non poteva scrivermi direttamente la comunicazione importante, invece di sprecare un passaggio per chiedermi il cellulare?
- Va bene tutto, però perché non mi sta scrivendo dalla sua mail aziendale, ma dal suo indirizzo personale che, stando a questa mail, è “pigixxxjjjxxciiaa3556744@gmail.com“?
Ma in generale, ha senso quello che ricevo con il mio lavoro e le mie mansioni? E se sì, prima di dare seguito, qualunque sia la richiesta e la sua urgenza, possiamo fermarci un attimo a ragionare?
Possiamo riassumere ancora di più nella domanda primordiale che ognuno dovrebbe farsi istintivamente di fronte a una mail: “Quello che sto ricevendo, ha inequivocabilmente senso?“
In questo caso parliamo di un utente dell’amministrazione che riceve:
- una PEC
- con in sollecito di pagamento di una fattura
- Un allegato che ha un nome file che ASSOMIGLIA a quello degli XML delle fatture elettroniche
Ora, qui si potrebbe anche cedere, ma sicuramente un utente che ha ricevuto altri XML, se è un utente che si ferma a ragionare, si dovrebbe chiedere come mai invece dell’XML la persona mi ha allegato uno zip. Forse oltre all’XML vuole mandarci altri file.
Ma un amministrativo, prima ancora, probabilmente farà il suo lavoro e andrà a controllare se ci sono fornitori verso i quali si abbiano delle pendenze.
Un utente che è stato abituato alla SANA PARANOIA, scriverà al suo IT e chiederà di controllare, perché comunque, un sollecito via PEC di una fattura è un qualcosa a cui si arriva dopo altri passaggi e, in un certo senso, se ci appare inaspettato, al 99,9% vuol dire che lo è, perché non risponde in maniera affermativa alla domanda “Quello che sto ricevendo, ha inequivocabilmente senso?”.
In questo caso l’attenzione dell’utente è stata particolarmente preziosa, perché, come detto, il tentativo è abbastanza raffinato e l’ho analizzato per i lettori più tecnici che vorranno proseguire nella lettura.
Lo zip contiene un file html che sarebbe stato sicuramente eseguito dal browser dell’utente, mostrando un testo e proponendo un link da cliccare. Anche il testo sarebbe stato di per sé abbastanza strano: ci dice che questa fattura è scaricabile solo da pc Desktop e non da mobile e ci invita a cliccare su un link.
Il link scaricherà un javascript che se verrà eseguito dall’utente potrà poi portarlo a pagine di credential harvesting o altro. Ma non ci interessa andare fin là, analizziamo quello che c’è dentro il file HTML allegato e come è stato costruito, e perché non è stato intercettato dai classici sistemi come sospetto.
C’è una parte iniziale di meta tag con sequenze casuali di parole che serve – a mio parere – a fare “rumore” per confondere eventuali sistemi che cerchino pattern specifici
Una sorta di padding/bloating probabilmente generato casualmente nel momento in cui è stato generato il file, in modo che ogni allegato abbia una firma diversa.
Alcuni filtri controllano anche lunghezza, entropia e densità del testo.
Qui vediamo che anche in altre parti del codice vengono inserite sequenze di parole che non si vedranno a video ma che sicuramente rendono il file più “vario”, quindi meno analizzabile se confrontato con dei pattern conosciuti.
queste sequenze di caratteri, dentro un tag che ha la proprietà “display:none”, non verranno visualizzate dall’utente che apre il file, servono solo a creare “rumore”.
Ma andiamo avanti. La prima cosa veramente interessante è questo pezzo di codice.
Qui le cose cominciano a farsi interessanti. Cosa sta facendo? Intanto crea un array con una sequenza di numeri, anzi, di coppie di numeri. Il ciclo succesivo prende queste coppie, le somma e ogni coppia sommata corrisponde a una lettera in codice ASCII/UTF-16.
Quindi, per fare un esempio: prendiamo i primi due numeri che si vedono nell’immagine:
97.83980646525357 + 1.1601935347464298 = 99
99, in codice ASCII, è una “c” minuscola. Andando avanti è possibile ricostruire tutto il link di base:
che viene poi finalizzato nella variabile “worldxor” qui, dove esegue anche una chiamata fetch a una API remota.
Il dominio che chiama è cjbhsgbfvnrsdiocdds . click (ho separato qui il primo e secondo livello del dominio in modo che non sia cliccabile, ma vi consiglio di metterlo in black list ovunque)
Questa chiamata potrebbe essere già una raccolta di dati in sé, anche solo una conferma che il file è stato aperto e potrebbe inviare già qualche dato all’attaccante.
Arriviamo quindi al pulsante che viene proposto per scaricare la fantomatica fattura.
Quello che avviene dopo è carino.
Su quel link c’è un trigger sia sul click che sul passaggio del mouse, due eventi che accadono sicuramente in sequenza, ma in questo modo ALMENO uno dei due eventi viene catturato, anche se un utente dovesse fermarsi all’ultimo momento prima di cliccare (e magari dire “Almeno non ho cliccato!”):
Non appena si passa il mouse, lo script controlla se esiste nel localStorage del browser una item nominato in un determinato modo e punterà a un altro endpoint che proporrà il download di uno script javascript.
Fa questo controllo in modo tale che questo comportamento avvenga solo la prima volta che si passa sopra il mouse e non tutte le volte, altrimenti l’utente verrebbe bombardato da proposte di dowload.
Il click del mouse, invece, richiama una api che, ancora in fetch, a questo punto potrebbe essere una telemetria che informa e manda altri dati sul progresso dell’utente in questa procedura (del tipo: “ok, il js è stato scaricato e l’utente ha cliccato”).
E’ comunque il “mouse over” il main event. Il file si scarica con il passaggio del mouse, non con il click…
La costruzione della URL che fa scaricare il javascript è ancora più frammentata, sempre per ingannare eventuali antivirus che cerchino negli allegati link a script.
In questo modo un antivirus email che ispezioni questi elementi non è in grado di capire automaticamente che questo allegato possa essere un rischio.
Questa episodio è la dimostrazione che nessuno può “comprare” la sicurezza: qualsiasi sistema automatizzato di controllo, per quanto sofisticato, ha bisogno dall’altra parte di una utenza costantemente istruita e consapevole che oramai – purtroppo – siamo sempre e costantemente sotto attacco (ogni 2-3 email del genere a settimana che passano i controlli, ce ne sono centinaia al giorno, solo nel mio Exchange, che rimangono incastrate nell’antiphishing centralizzato. Immaginate i volumi globali).
Non ve la bevete se qualcuno vuole vendervi la soluzione SICURA senza che vi dica che una soluzione sicura non può prescindere da un’utenza che partecipa attivamente alla difesa dell’azienda.
p.s.: oltre al dominio indicato è coinvolto anche un secondo dominio, nella costruzione del link: abdallaisse . com
Mettiamo in black list anche questo, va.
Volete saperne di più sulla nostra realtà e sul mondo Microsoft?
Contattate il nostro team ad info@nubetech.it e saremo lieti di aiutarvi.
