I ricercatori di sicurezza di Symantec avvertono di attacchi molto mirati che sfruttano la crisi in Libia e consegnano un exploit via e-mail per infettare i computer chiave. Le e-mail pongono delle risposte ai messaggi precedenti circa l'attuale situazione nel paese arabo e gli oggetti sono del tipo "Re: DISCUSSIONE - la battaglia finale in Libia".
Il loro corpo contiene un messaggio di lettura molto breve " Sono d'accordo con questo punto ", tuttavia, un errore di formattazione dei risultati in un tag html spezzato, compare alla fine. Il breve messaggio ha lo scopo di distogliere l'attenzione dei destinatari 'verso il documento allegato denominato "EconomicStakes Crisis.doc in Libia".
Se aperto, il documento cerca di sfruttare una vulnerabilità RTF Office di buffer overflow dello stack, identificata come CVE-2010-3333 e patchato da Microsoft in novembre. Lo sfruttamento del successo permette al malintenzionato di eseguire codice arbitrario sul sistema. In questo caso un pezzo di malware viene installato.
Il primo esempio di questo attacco mirato è stato intercettato da Symantec.cloud il 24 febbraio 2011 alle 12:52 GMT. Secondo Symantec, gli attacchi intercettati dalla società provengono da quattro domini separati ed erano mirati ad un numero di 27 individui nel termine di sei diverse organizzazioni coinvolte nell'attivismo dei diritti umani, aiuti umanitari o l'analisi degli affari esteri e sviluppo economico.
"Nella maggior parte dei casi, le intestazioni delle e-mail sono stati oggetto di spoofing per far apparire che provengono dallo stesso dominio del nome del destinatario, una tecnica di ingegneria sociale familiare utilizzata nei cosiddetti attacchi 'spear phishing'", ha spiegato Jo Hurcombe di Symantec.
"Gli autori di tali frodi utilizzano qualsiasi informazione a disposizione per personalizzare un messaggio di phishing, in modo da restringere il più possibile il gruppo di utenti a cui è rivolto. Questo approccio cerca di ingannare il destinatario a credere che l'email sia stata inviata da qualcuno all'interno". Le email sono state inviate da un indirizzo IP in Romania, però, il corpo di codifica è impostato sul cinese tradizionale.
Nessun commento:
Posta un commento