Alla fine del 2019, i nostri esperti in cybersecurity hanno utilizzato la tecnica del watering hole per scoprire un attacco mirato. Senza ricorrere a trucchi sofisticati e senza sfruttare vulnerabilità, i cybercriminali hanno infettato i dispositivi degli utenti in Asia per un periodo di almeno otto mesi.
Sulla base del contenuto dei siti web dannosi utilizzati per diffondere il malware, l’attacco è stato battezzato, proprio così, Holy Water (Acqua Santa). Si tratta del secondo attacco rilevato in diversi mesi ad avere utilizzato tali tecniche (qui potrete saperne di più sullo spyware LightSpy).
Come ha fatto Holy Water ad infettare i dispositivi degli utenti?
Sembrerebbe che i cybercriminali a un certo punto abbiano compromesso un server che ospitava pagine web appartenenti principalmente a personalità religiose, organizzazioni pubbliche e associazioni di beneficenza.
I criminali informatici hanno inserito nel codice di queste pagine degli script dannosi, che sono stati poi utilizzati per effettuare gli attacchi.
Quando gli utenti visitavano una pagina web infetta, gli script utilizzavano strumenti perfettamente legittimi per raccogliere i dati che li riguardavano e inviarli a un server di terze parti per la verifica. Non sappiamo come siano state selezionate le vittime di Holy Water, ma in risposta alle informazioni ricevute, se l’obiettivo era promettente, il server inviava un comando per continuare l’attacco.
Il passo successivo dell’attacco Holy Water prevedeva un trucco ormai consolidato (e utilizzato da oltre un decennio): si richiedeva all’utente di aggiornare Adobe Flash Player, che presumibilmente era obsoleto e rappresentava un rischio per la sicurezza. Se la vittima acconsentiva, invece dell’aggiornamento promesso, veniva scaricata e installata sul computer la backdoor Godlike12.
Il pericolo di Godlike12
I responsabili dell’attacco si sono avvalsi attivamente di servizi legittimi, sia per individuare e vittime di interesse, sia per immagazzinare il codice dannoso (la backdoor è stata citata su GitHub).Le comunicazioni con i server C&C avvenivano attraverso Google Drive.
La backdoor inseriva un identificatore in Google Drive, a cui effettuava chiamate regolari per verificare la presenza di comandi da parte degli hacker. Anche gli esiti dell’esecuzione di tali comandi venivano caricati lì. Secondo i nostri esperti, lo scopo dell’attacco era l’identificazione e la raccolta di informazioni dai dispositivi compromessi.
Per maggiori dettagli tecnici e per sapere quali strumenti sono stati utilizzati, potete leggere il nostro post su Securelist inerente a Holy Water, dove solo elencati anche gli indicatori di compromissione.
Come proteggersi
Finora l’attacco Holy Water è stato individuato solo in Asia. Tuttavia, gli strumenti utilizzati in questa campagna di attacco sono abbastanza semplici e possono essere impiegati facilmente anche altrove. Pertanto, per difendersi dal malware raccomandiamo a tutti gli utenti di prendere sul serio queste informazioni, indipendentemente da dove si trovino geograficamente parlando.
Non possiamo stabilire se l’attacco sia rivolto a determinati individui o aziende . Tuttavia, una cosa è certa: chiunque può visitare i siti infetti sia da dispositivi domestici, sia di lavoro. Pertanto, il nostro consiglio principale è quello di proteggere qualsiasi sistema dotato di accesso a Internet. Offriamo soluzioni di sicurezza sia per i computer personali che per i computer aziendali. I prodotti di sicurezza informatica Kaspersky rilevano e bloccano tutti gli strumenti e le tecniche impiegati dai creatori di Holy Water.