{"id":27489,"date":"2022-12-29T10:40:30","date_gmt":"2022-12-29T08:40:30","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27489"},"modified":"2023-02-22T11:10:37","modified_gmt":"2023-02-22T09:10:37","slug":"bluenoroff-mark-of-the-web","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/bluenoroff-mark-of-the-web\/27489\/","title":{"rendered":"Il bypass Mark-of-the-Web"},"content":{"rendered":"

Di solito, quando un utente cerca di leggere un documento di Office inviato via e-mail o scaricato da un sito web, Microsoft Office lo apre in modalit\u00e0 protetta. Ci\u00f2 avviene utilizzando il Mark-of-the-Web (MOTW), uno dei meccanismi di protezione predefiniti di Windows. Questo meccanismo contrassegna i file apparsi sul PC da Internet, in modo che le applicazioni ne conoscano la fonte e possano richiamare l\u2019attenzione dell\u2019utente su un potenziale pericolo. Tuttavia, affidarsi ciecamente all\u2019efficacia di tale meccanismo di avviso \u00e8 probabilmente una cattiva idea, poich\u00e9 negli ultimi tempi molti criminali informatici hanno iniziato a utilizzare metodi per aggirare MOTW. Ad esempio, quando i nostri esperti hanno recentemente studiato gli strumenti del gruppo BlueNoroff (che si pensa faccia parte del gruppo Lazarus), hanno scoperto che sta utilizzando nuovi trucchi per ingannare il sistema operativo.<\/p>\n

Come BlueNoroff aggira il meccanismo MOTW<\/h2>\n

Il meccanismo del Mark-of-the-Web funziona come segue: non appena un utente (o un programma) scarica un file dalla rete, il file system NTFS gli attribuisce l\u2019attributo \u201cda Internet\u201d. Ma questo attributo non viene sempre acquisito. Quando si scarica un archivio, tutti i file al suo interno ricevono questo attributo. Tuttavia, un archivio non \u00e8 l\u2019unico modo per trasferire un file indirettamente.<\/p>\n

Gli aggressori del gruppo BlueNoroff hanno iniziato a sperimentare l\u2019uso di nuovi tipi di file per trasmettere documenti dannosi. In alcune occasioni utilizzano il formato .iso, comunemente usato per archiviare immagini di dischi ottici. L\u2019altra opzione \u00e8 un file .vhd che di solito contiene un disco rigido virtuale. In altre parole, nascondono il vero payload dell\u2019attacco \u2013 un documento esca e uno script dannoso \u2013 all\u2019interno dell\u2019immagine o dell\u2019unit\u00e0 virtuale.<\/p>\n

Una descrizione tecnica pi\u00f9 dettagliata degli strumenti e dei metodi aggiornati di BlueNoroff, nonch\u00e9 degli indicatori di compromissione, \u00e8 disponibile nel post dei nostri esperti sul blog di Securelist<\/a>.<\/p>\n

Chi sono i BlueNoroff e cosa stanno cercando?<\/h2>\n

All\u2019inizio di quest\u2019anno abbiamo gi\u00e0 scritto della campagna SnatchCrypto<\/a> finalizzata al furto di criptovalute. Sulla base di una serie di indizi, i nostri ricercatori ritengono che dietro ci sia lo stesso gruppo BlueNoroff. Anche l\u2019attivit\u00e0 osservata oggi \u00e8 finalizzata principalmente a ottenere un guadagno finanziario. In realt\u00e0, la fase finale dell\u2019attacco \u00e8 rimasta la stessa: i criminali installano una backdoor sul computer infetto.<\/p>\n

Il gruppo BlueNoroff ha registrato molti domini che imitano societ\u00e0 di venture capital e di investimento, nonch\u00e9 grandi banche. A giudicare dai nomi delle banche e dai documenti esca utilizzati dagli aggressori, al momento sono interessati soprattutto a obiettivi che parlano giapponese. Tuttavia, almeno una vittima del gruppo \u00e8 stata trovata negli Emirati Arabi Uniti. Come dimostra la prassi, BlueNoroff \u00e8 interessato soprattutto alle imprese legate alle criptovalute e alle societ\u00e0 finanziarie.<\/p>\n

Come rimanere al sicuro?<\/h2>\n

Innanzitutto, vale la pena di abbandonare l\u2019illusione che i meccanismi di protezione predefiniti integrati nel sistema operativo siano sufficienti a garantire la sicurezza dell\u2019azienda. Il meccanismo del Mark-of-the-Web non pu\u00f2 proteggere da un dipendente che apre un file ricevuto da Internet ed esegue uno script dannoso. Affinch\u00e9 la vostra azienda non sia vittima degli attacchi di BlueNororff e di gruppi APT simili, i nostri esperti raccomandano quanto segue:<\/p>\n