Case study: il gruppo cyber-criminale Silence attacca le banche con attacchi di spear-phishing

 
 
Sono un gruppo di professionisti: sicuramente lo sono, data la conoscenza del settore e le capacità dimostrate. Sono in grado di organizzare attacchi così efficaci contro banche e istituti di credito al punto da aver racimolato circa 1 miliardo di dollari e indubbiamente un posto sul podio della criminalità informatica. I ricercatori hanno chiamato questo gruppo di cyber-criminali Silence: usano lo spear-phishing per diffondere malware molto pericolosi. 
 
Un passo indietro: il gruppo Carbanak
Il gruppo Silence agisce in modo molto simile a quello del gruppo Carbanak, altro gruppo cyber criminale. Carbanak prese di mira una lunga serie di ristoranti negli States e moltissime banche
(anche italiane) con un malware molto particolare perché fileless (non copiava cioè nessun file sul disco rigido) assieme ad una tecnica di attacco che sfruttava PowerShell per eludere i controlli dei software di sicurezza. Il vettore di attacco era, in questo caso, un documento Word diffuso tramite email di phishing confezionate in maniera molto molto credibile. All'interno recava un oggetto OLE che avviava l'esecuzione di codice in Javascript. L'unico avviso che la vittima riceveva era la richiesta di disattivare la visualizzazione protetta di Office: il documento però arrivava assieme ad una credibilissima proposta di lavoro, quindi è assai probabile che la maggior parte dei riceventi l'abbiano aperta.
Una delle email usate da Carbanak
Disabilitata la visualizzazione protetta, iniziava l'attacco vero e proprio con la scrittura (ritardata dalla pianificazione un Windows Task) di altro codice JavaScript nascosto entro un file TXT. Il resto dell'attacco veniva quindi condotto esclusivamente da remoto utilizzano la query DNS per generare script PowerShell offuscati. Il tutto finalizzato, ovviamente, a rubare quante più informazioni possibili. 
 
Il gruppo Silence:
anche il gruppo Silence usa email di spear phishing come primo vettore di attacco. L'obiettivo è, di solito, un semplice impiegato al quale viene recapitata dai cyber-criminali una mail mirata molto ingannevole e con un (apparente) mittente degno di fiducia: il gruppo Silence infatti invia le proprie email dagli account legittimi di altri impiegati del settore finanziario già infettati in precedenza. 
Lo scopo è, ovviamente, penetrare nella macchina dell'impiegato bersaglio per poi accedere all'intera rete locale aziendale.

Usano per attaccare, un file in formato CHM (Microsoft Compressed HTML Help), un formato proprietario di Microsoft usato per l'aiuto online per Windows. Il perchè è che questo formato consente di integrare file HTM ai quali viene aggiunto un JavaScript che scarica ed esegue il malware. 
 
Il JavaScript oscurato che serve ad aprire la backdoor. 
Una volta entro la rete lo scopo è sottrarre tutte le informazioni utili a estorcere, dirottare, sottrarre denaro. Usano inoltre (ma anche il gruppo Carbanak ne faceva uso) CreateCompatibleBitmap e GdipCreateBitmapFromHBITMAP per rubare a cadenza regolare schermate dei PC infetti.
 
Cosa è quindi lo Spear Phishing?
Arriviamo al dunque: l'elenco di questi due diversi episodi serve a far comprendere che il rischio di essere truffati da email ingannevoli può esporre a gravissime conseguenze. In questi due casi però non il pericolo non originava da attacchi di phishing, ma di spear phishing. Lo Spear Phishing è una variante dei messaggi di phishing: un cyber-criminale invia una e-mail mirata ad un individuo camuffandola come se fosse proveniente da una fonte attendibile. La finalità di questi messaggi è, come qualsiasi altra frode informatica, quella di accedere al sistema dell'utente o estorcere informazioni sensibili. C'è una piccola differenza tra il Phishing e lo Spear Phishing: una mail di phishing generalmente appare come proveniente da grandi organizzazioni come banche, provider, siti di social network, compagnie di assicurazione ecc..
 

Nel caso dello Spear Phishing, l'utente riceve una mail meticolosamente personalizzata da una fonte affidabile o ancora da una compagnia con la quale ha familiarità: spesso è addirittura prevista una certa interazione con la vittima. Queste email sono così attentamente pensate che sono perfettamente confondibili con email inviate da amici, colleghi o del tuo capo che richiede l'accesso a informazioni sensibili. I cyber-criminali che usano questa tecnica vivono grazie al fatto che hanno una certa conoscenza sulla vittima, cosa che permette loro di capire che tipo di messaggio può farti abbassare la guardia. Così ad esempio, possono includere nel messaggio la mail personale, dettagli sulla posizione professionale o altri tipi di informazione sottratti da altre fonti, quasi sempre dalle attività sui social network.