Proofpoint ha osservato numerosi cambiamenti significativi che influenzano il panorama globale delle minacce. Tra questi, l’abbandono di documenti con macro malevole, l’aumento di uso e disponibilità di kit di phishing in grado di aggirare l’autenticazione a più fattori (MFA) e la tendenza a intrattenere conversazioni con le vittime selezionate prima di inviare messaggi con payload pericolosi.
Tra la metà 2022 e il 2023, il panorama delle minacce ha registrato uno dei maggiori cambiamenti nei comportamenti dei cybercriminali, a seguito del blocco, da parte di Microsoft, degli allegati contenenti macro tramite impostazione predefinita nei suoi prodotti Office. Questo aggiornamento ha costretto gli attori delle minacce ad adottare nuovi meccanismi per distribuire malware, modificando regolarmente tattiche, tecniche e procedure nelle proprie campagne, per cercare di eludere i rilevamenti di anomalie, utilizzando anche tipologie di file raramente osservati in passato.
Con l’MFA che sta diventando una pratica di sicurezza standard, i kit di phishing si sono evoluti per rubare i token e aggirarla. Gli attori delle minacce utilizzano procedure che sfruttano un reverse proxy trasparente, consentendo loro di effettuare un “attacker-in-the-middle” durante una sessione browser e rubare credenziali e cookie in tempo reale. In base alla propria visibilità Proofpoint ha osservato una diffusione sempre più elevata di questi kit.
Proofpoint ha osservato anche un aumento delle minacce TOAD (telephone-oriented attack delivery), che utilizzano il social engineering per spingere il destinatario a telefonare a un falso rappresentante del servizio clienti, che condurrà successivamente la vittima all’installazione di malware. Attualmente sono centinaia di migliaia le minacce di questo tipo che Proofpoint osserva ogni giorno.
Il cybercrime colpisce l’Italia
I ricercatori di Proofpoint hanno rilevato numerosi attori delle minacce che prendono di mira le organizzazioni italiane a scopo di lucro, sfruttando tecniche di social engineering, tra cui lo spoofing di enti governativi italiani o fingendo di essere risposte a conversazioni esistenti, per indurre gli utenti a fidarsi e condividere contenuti.
I cybercriminali dimostrano di avere molti obiettivi, tra cui furto di dati, takeover di account, recupero di informazioni bancarie per rubare fondi o installare malware successivi, tra cui potenzialmente il ransomware. Minacce che possono avere un forte impatto finanziario, con perdite di milioni di dollari.
I risultati principali inclusi nel PDF allegato evidenziano che:
- Gli attori del panorama delle minacce, compresi quelli che prendono di mira gli utenti italiani, stanno adottando nuovi metodi di consegna e si stanno allontanando dai documenti abilitati alle macro.
- Tra i cybercriminali che stanno prendendo di mira nello specifico l’Italia vi sono TA550, TA551, TA544, TA554 e TA542.
- Il malware bancario Ursnif è il più frequentemente osservato tra quelli che mirano alle aziende italiane.
- Proofpoint ha osservato attori che hanno simulato organizzazioni governative italiane legate a servizi finanziari, postali e sanitari.
- Le minacce identificate possono consentire il furto di dati, la ricognizione, la perdita finanziaria e l’invio di malware successivi, compresi i ransomware.