ESET Research, indagine sulle campagne di phishing più diffuse

I ricercatori di ESET, specialista nel mercato della cybersecurity, hanno indagato su nove campagne di phishing molto diffuse, mirate a piccole e medie imprese (PMI) in Polonia, Romania e Italia nel maggio 2024, attraverso cui sono state distribuite diverse famiglie di malware.

Gli attaccanti, rispetto all'anno precedente, hanno lasciato AceCryptor in favore di ModiLoader come strumento principale per la distribuzione del malware, ampliando nel contempo i malware utilizzati. Gli aggressori hanno utilizzato account email e server aziendali precedentemente compromessi, non solo per diffondere email malevole ma anche per ospitare malware e raccogliere dati rubati. Soltanto nel mese di maggio 2024, le soluzioni ESET hanno protetto oltre 26.000 utenti – di cui più di 21.000 (80%) in Polonia – contro codeste minacce.

"In totale, abbiamo registrato nove campagne di phishing, sette delle quali hanno preso di mira la Polonia per tutto il mese di maggio," spiega Jakub Kaloč, che ha analizzato le campagne. "Il payload finale che veniva distribuito e lanciato sui computer compromessi variava; abbiamo rilevato campagne che distribuivano l’infostealer Formbook; il trojan di accesso remoto e infostealer Agent Tesla; e Rescoms RAT, un software di controllo remoto e sorveglianza capace di sottrarre informazioni sensibili".

Uno schema replicato

Tutte le campagne hanno in generale osservato uno schema: le aziende che erano nel mirino ricevevano un'email con un'offerta commerciale. Come nelle campagne di phishing della seconda metà del 2023, gli attaccanti fingevano di essere aziende esistenti. In questo modo, anche se la potenziale vittima ricercava tipici segnali d'allarme e possibili errori di traduzione, questi erano assenti e l'email appariva del tutto legittima.

A caratterizzare le email di tutte le campagne era la presenza di un allegato malevolo, che la potenziale vittima era motivata ad aprire. Il file stesso era un file ISO o un archivio contenente l'eseguibile ModiLoader, un downloader Delphi con un compito semplice: scaricare e lanciare il malware. In due delle campagne, i campioni di ModiLoader erano configurati per scaricare in un secondo momento il malware da un server compromesso appartenente a un'azienda ungherese. Nelle altre campagne, ModiLoader scaricava il malware successivo dal servizio di cloud storage OneDrive di Microsoft.