Gli esperti di Kaspersky hanno scoperto una nuova serie di campagne spyware in rapida evoluzione, che ha già attaccato più di 2.000 enterprise nel settore industriale in tutto il mondo.
I malware utilizzati in questi attacchi appartengono a famiglie di spyware già note come Agent Tesla/Origin Logger, HawkEye e altri.
A differenza di molte campagne spyware tradizionali, questi attacchi si distinguono per il numero limitato di obiettivi e la durata breve dei sample dannosi. Il report Kaspersky Ics Cert ha individuato più di 25 mercati in cui vengono rivenduti i dati rubati.
Un'analisi più approfondita di 58.586 campioni di spyware bloccati sui computer Ics nel primo semestre del 2021 ha rivelato che circa il 21,2% di essi faceva parte di questa nuova serie di attacchi.
Il loro ciclo di vita è limitato a circa 25 giorni, molto meno della durata di una campagna spyware "tradizionale".
In particolare, la maggior parte di queste campagne viene diffusa da un'impresa industriale all'altra tramite email di phishing. Una volta penetrato nel sistema della vittima, l'attaccante utilizza il dispositivo come server C2 (command and control) per l’attacco successivo. Con l'accesso alla mailing list della vittima, i criminali possono sfruttare i contatti di posta elettronica aziendale e diffondere ulteriormente lo spyware.
Secondo la telemetria di Kaspersky Ics Cert, le organizzazioni industriali incorporate in questo sistema fraudolento sono state sfruttate dai gruppi di criminali informatici per diffondere l'attacco verso altre aziende e partner commerciali. Si stima che il numero totale di account aziendali compromessi o rubati a seguito di questi attacchi sia superiore a 7.000.
Un altro mercato in crescita è lo spyware-as-a-Service. Da quando i codici sorgente di alcuni noti programmi spyware sono stati resi pubblici, è cresciuta la loro disponibilità negli store online sotto forma di servizio: gli sviluppatori vendono non solo il malware come prodotto, ma anche una licenza per sviluppare malware e avere accesso all'infrastruttura preconfigurata.
"Per evitare il rilevamento, i criminali riducono le dimensioni di ogni attacco e limitano l'uso di sample, sostituendoli rapidamente. Un’altra tattica è lo sfruttamento dell'infrastruttura di posta elettronica aziendale per diffondere il malware. Tutte queste tecniche sono diverse da tutto ciò che abbiamo osservato in passato nel mondo degli spyware e prevediamo che questo tipo di attacchi acquisirà terreno nel prossimo anno", ha commentato Kirill Kruglov, security expert di Kaspersky Ics Cert.