{"id":21203,"date":"2020-04-03T10:50:09","date_gmt":"2020-04-03T08:50:09","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21203"},"modified":"2020-04-03T13:22:29","modified_gmt":"2020-04-03T11:22:29","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/","title":{"rendered":"Il malware Holy Water infetta dispositivi in Asia"},"content":{"rendered":"

Alla fine del 2019, i nostri esperti<\/strong> in cybersecurity<\/strong><\/a> hanno utilizzato la tecnica del<\/strong> watering hole<\/a> per scoprire un attacco <\/strong>mirato<\/strong><\/a>. Senza ricorrere a trucchi sofisticati e senza sfruttare vulnerabilit\u00e0<\/strong>, i cybercriminali<\/strong> hanno infettato i dispositivi degli utenti in Asia per un periodo di almeno otto mesi.<\/p>\n

Sulla base del contenuto dei siti web dannosi <\/strong>utilizzati per diffondere il malware<\/strong>, l\u2019attacco \u00e8 stato battezzato, proprio cos\u00ec, Holy Water<\/em><\/strong> (Acqua Santa). Si tratta del secondo attacco rilevato in diversi mesi ad avere utilizzato tali tecniche (qui<\/a> \u00a0potrete saperne di pi\u00f9 sullo spyware <\/strong>LightSpy<\/strong><\/a>).<\/p>\n

Come ha fatto Holy Water ad infettare i dispositivi degli utenti?<\/h2>\n

Sembrerebbe che i cybercriminali <\/strong>a un certo punto abbiano compromesso un server che ospitava pagine web appartenenti principalmente a personalit\u00e0 religiose, organizzazioni pubbliche e associazioni di beneficenza.
\nI criminali informatici hanno inserito nel codice di queste pagine degli script dannosi, che sono stati poi utilizzati per effettuare gli attacchi.<\/p>\n

Quando gli utenti visitavano una pagina web <\/strong>infetta<\/strong><\/a>, gli script utilizzavano strumenti perfettamente legittimi per raccogliere i dati che li riguardavano e inviarli a un server di terze parti per la verifica. Non sappiamo come siano state selezionate le vittime di Holy Water<\/strong>, ma in risposta alle informazioni ricevute, se l\u2019obiettivo era promettente, il server inviava un comando per continuare l\u2019attacco.<\/p>\n

Il passo successivo dell\u2019attacco Holy Water <\/strong>prevedeva un trucco ormai consolidato (e utilizzato da oltre un decennio): si richiedeva all\u2019utente di aggiornare Adobe Flash Player<\/strong>, che presumibilmente era obsoleto e rappresentava un rischio per la sicurezza. Se la vittima acconsentiva, invece dell\u2019aggiornamento promesso, veniva scaricata e installata sul computer la backdoor Godlike12<\/strong>.<\/p>\n

Il pericolo di Godlike12<\/h2>\n

I responsabili dell\u2019attacco si sono avvalsi attivamente di servizi legittimi, sia per individuare e vittime di interesse, sia per immagazzinare il codice dannoso (la backdoor<\/strong> \u00e8 stata citata su GitHub<\/strong><\/a>).Le comunicazioni con i server C&C avvenivano attraverso Google Drive<\/strong>.<\/p>\n

La backdoor<\/strong> inseriva un identificatore in Google Drive,<\/strong> a cui effettuava chiamate regolari per verificare la presenza di comandi da parte degli hacker. Anche gli esiti dell\u2019esecuzione di tali comandi venivano caricati l\u00ec. Secondo i nostri esperti, lo scopo dell\u2019attacco era l\u2019identificazione e la raccolta di informazioni<\/strong> dai dispositivi <\/strong>compromessi<\/strong><\/a>.<\/p>\n

Per maggiori dettagli tecnici e per sapere quali strumenti sono stati utilizzati, potete leggere il nostro post su Securelist inerente a Holy Water<\/a>, dove solo elencati anche gli indicatori di compromissione<\/strong>.<\/p>\n

Come proteggersi<\/h2>\n

Finora l\u2019attacco Holy Water<\/strong> \u00e8 stato individuato solo in Asia. Tuttavia, gli strumenti utilizzati in questa campagna di attacco sono abbastanza semplici e possono essere impiegati facilmente anche altrove. Pertanto, per difendersi dal malware <\/strong>raccomandiamo a tutti gli utenti di prendere sul serio queste informazioni, indipendentemente da dove si trovino geograficamente parlando.<\/p>\n

Non possiamo stabilire se l\u2019attacco sia rivolto a determinati individui o aziende . Tuttavia, una cosa \u00e8 certa: chiunque pu\u00f2 visitare i siti infetti sia da dispositivi domestici, sia di lavoro. Pertanto, il nostro consiglio principale \u00e8 quello di proteggere qualsiasi sistema dotato di accesso a Internet. Offriamo soluzioni di sicurezza<\/strong> sia per i computer personali<\/a> che per i computer aziendali<\/a>. I prodotti di sicurezza informatica <\/strong>Kaspersky<\/strong><\/a> rilevano e bloccano tutti gli strumenti e le tecniche impiegati dai creatori di Holy Water.<\/p>\n\n

\u00a0<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Gli hacker stanno infettando i computer degli utenti con una backdoor che si presenta come un aggiornamento di Adobe Flash Player.<\/p>\n","protected":false},"author":700,"featured_media":21205,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[592,830,840],"class_list":{"0":"post-21203","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-attacchi-mirati","12":"tag-watering-hole"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=21203"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21203\/revisions"}],"predecessor-version":[{"id":21211,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21203\/revisions\/21211"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/21205"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=21203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=21203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=21203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}