Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Campagna di mail di spam usa l'estenzione .url per sfruttare le vulnerabilità di Internet Explorer.
- GIOVEDÌ 15 MARZO 2018


Le campagne di spam sono il metodo migliore per diffondere malware. Qualche tempo fa abbiamo scritto di campagne che usano file MS Office contenenti macro dannose per sfruttare le vulnerabilità di Office stesso. Recentemente abbiamo individuato una campagna di spam che usa i file .url come "first stage" downloader per diffondere malware bypassando le funzioni di sicurezza.

Il 13 Settembre 2016 Microsoft ha pubblicato un bollettino di sicurezza MS16-104, elencante diverse vulnerabilità che affliggono Internet Explorer. Una di queste era la CVE-2016-3353,  un bug nel modo con il quale vengono gestiti i file .URL che consente il bypass delle funzioni di sicurezza. Questa vulnerabilità non consente di per sé l'esecuzione di codice da remoto, ma consente agli attaccanti di poter bypassare quegli avvisi di sicurezza che, in corso di attacco, implicano l'interazione dell'utente.

Quarkslab racconta che "un attaccante potrebbe inviare alla vitima un file .URL appositamente predisposto per l'exploit e il bypass dei livelli di sicurezza. Se la vittima apre il file URL, l'attaccante può eseguire codice arbitrario sulla macchina della vittima.
Riferimento: https://blog.quarkslab.com/analysis-of-ms16-104-url-files-security-feature-bypass-cve-2016-3353.html

Ecco qui l'analisi più approfondita dei Quick Heal Security Labs.

Che cosa è un file .URL?

Un file URL è un file di collegamento al quale fanno riferimento i browser Web come Internet Explorer, Safari, Chrome ecc... Il file URL contiene le informazioni per l'indirizzo URL di un sito web e può contenere anche riferimenti al file favicon.ico, che viene visualizzato come icona per il collegamento URL. Quando un utente fa clic su questa icona, il file URL viene referenziato il browser avvia la pagina web verso la quale l'URL reindirizza.

Di per sé questi file non rappresentano una minaccia, a meno che non finiscano usati impropriamente per creare collegamenti dannosi. La particolarità di questa campagna risiede non solo nell'uso di questo tipo di file, ma anche in come è stato configurato. In questa campagna infatti il file URL non è un link diretto ad un sito, ma conduce al download di un file Javascript (.JS).

L'immagine sotto mostra il contenuto di uno di questi file .url


Questa campagna viene solitamente utilizzata per accedere al file system locale. Può essere usata anche coi file system remoti, a cui si accede tramite il protocollo SMB di Windows. E' una nuova tecnica di propagazione per diffondere malware utilizzando il protocollo SMB come canale di input.

Catena di infezione
L'attacco, in questa campagna, comincia con una email di spam. Questa email contiene un file .zip. Questa tecnica garantisce 2 vantaggi agli attaccanti:

- le email sembrano più legittimate agli occhi degli utenti bersaglio
- è assai difficile, per i moduli di sicurezza email, scansire i file interni all'archivio .zip.

Nell'immagine sotto una mail usata in questa campagna:


Dal file .zip viene ottenuto il file "Random_name.url" e quando un utente fa clic su quel file per aprirne il contenuto, l'host tenta di stabilire una connessione SMB con il server controllato dall'attaccante. In risposta si ottiene il payload dannoso (un file .js) che chiede all'utente il permesso per eseguirsi.



Il file .js quindi si connette ad un altro server remoto dal quale scarica il file eseguibile contenente altro codice dannoso. Fino ad ora abbiamo osservato che il malware in diffusione è una variante di Quant Loader. Lo scopo è quello di ottenere la persistenza sul sistema e scaricare altri malware che potrebbero rubare le informazioni agli utenti.

L'individuazione da parte di Quick Heal
La Protezione Antivirus di Seqrite indivuda con successo e blocca il file .url dannoso responsabile della diffusione del payload nel sistema.

1. La Protezione Virus di Quick Heal mostra l'alert per il file URL.


2.La Protezione Virus di Quick Heal mostra l'alert per il payload dannoso.


Alcuni consigli per stare al sicuro da questi tipi di attacchi:
  • Non scaricare allegati e non fare clic su link ricevuti in email provenienti da fonti sconosciute o inaspettate.
  • Mantieni aggiornato il tuo antivirus e assicurati di usare l'ultima versione disponibile.
  • Esegui sempre un backup dei tuoi dati principali. Tienilo in un luogo sicuro.
  • Applica tutti gli aggiornamenti raccomandati per il tuo Sistema Operativo e i programmi come Adobe, Java, browser ecc...
  • Assicurati che gli aggiornamenti automatici siano abilitati.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login