Nel dicembre 2024, una serie di campagne di phishing e malware sta mettendo a rischio la sicurezza digitale di molti utenti. Gli esperti di sicurezza di ANY.RUN hanno analizzato un attacco zero-day che utilizza file Word e archivi ZIP corrotti per eludere i sistemi di rilevamento. Questo attacco è stato attivo da agosto e continua a rappresentare una minaccia significativa, poiché la corruzione intenzionale dei file impedisce ai sistemi di sicurezza di identificarli correttamente, portando a zero rilevamenti di minacce. Una volta aperti, i file corrotti vengono ripristinati nelle loro applicazioni native, presentando contenuti dannosi agli utenti.

ANY.RUN e la sandbox interattiva

ANY.RUN offre un sandbox interattivo che consente di eseguire manualmente questi file corrotti in un ambiente virtuale sicuro, rivelando i payload dannosi nascosti. Questa funzionalità è essenziale per identificare e mitigare le minacce che sfuggono ai tradizionali sistemi di sicurezza.

Attacchi recenti e tecniche utilizzate

Un altro attacco recente sfrutta un loader senza file chiamato Psloramyra per distribuire Quasar RAT sui dispositivi infetti. Questo attacco utilizza una tecnica LoLBaS (Living off the Land Binaries and Scripts) per eseguire uno script PowerShell che carica dinamicamente un payload dannoso in memoria, iniettando infine Quasar in processi legittimi come RegSvcs.exe. Il malware opera interamente nella memoria del sistema, lasciando pochi o nessun segno sul disco fisico, e garantisce la sua persistenza creando un'attività pianificata che si esegue ogni due minuti.

Inoltre, i cybercriminali stanno ora sfruttando lo storage blob di Azure per ospitare pagine di phishing, utilizzando il sottodominio *.blob.core.windows.net. Questi attacchi mirano a ingannare le vittime nel fornire le proprie credenziali di accesso su moduli falsi, che vengono poi raccolte ed esfiltrate.

Minacce emergenti

Un'altra minaccia emergente è il loader Emmenhtal, che utilizza una serie di script per distribuire malware come Lumma, Amadey, e altri. Questo loader esegue una complessa catena di esecuzione che coinvolge file LNK, Forfiles, PowerShell, e Mshta per decriptare ed eseguire payload dannosi.

Strumenti per affrontare le minacce

Per affrontare queste minacce, è fondamentale utilizzare strumenti avanzati come il sandbox interattivo di ANY.RUN, che offre un ambiente virtuale sicuro per l'analisi di malware e phishing. Questo strumento consente di identificare rapidamente le minacce, risparmiando risorse su configurazioni e manutenzioni, e permette di lavorare in modalità privata con il proprio team.