- Microsoft ha emesso un nuovo avviso di attacco informatico che coinvolge il gruppo di hacker Nobelium.
- I tentativi di attacco sono ora più credibili, poiché la parte malintenzionata utilizza un ex account USAID.
- Sono già stati attaccati più di 3000 account collegati ad agenzie governative e non.
- Tom Burt di Microsoft ha spiegato esattamente come funziona questo schema di phishing contro le sue vittime.
Microsoft ha lanciato un serio avvertimento riguardo alla sicurezza informatica per tutti là fuori, poiché i livelli di attacco hanno iniziato a salire ancora una volta.
Il gruppo sostenuto dalla Russia Nobelium è tornato e, questa volta, le tattiche impiegate potrebbero ingannare anche il più vigile degli osservatori.
Nobelium utilizza un account USAID violato per il phishing
Come accennato in precedenza, gli hacker russi hanno ora messo le mani su una piattaforma di email marketing Constant Contact precedentemente utilizzata da USAID, al fine di condurre i loro loschi affari.
Le stime mostrano che più di 3000 account collegati ad agenzie governative, consulenti, gruppi di riflessione e altre organizzazioni non governative, sono stati presi di mira da questo schema di phishing.
E anche se la maggior parte degli sforzi di Nobelium si è concentrata principalmente negli Stati Uniti, sembra che il contenuto dannoso abbia raggiunto più di 24 paesi, secondo Microsoft.
Tom Burt, il vicepresidente della sicurezza e della fiducia dei clienti di Microsoft, ha spiegato come il malware Native Zone è stato inserito nei computer della vittima.
Nobelium ha lanciato gli attacchi di questa settimana ottenendo l'accesso all'account Constant Contact di USAID. Da lì, l'attore è stato in grado di distribuire e-mail di phishing che sembravano autentiche ma includevano un collegamento che, se cliccato, inseriva un file dannoso utilizzato per distribuire una backdoor che chiamiamo Native Zone. Questa backdoor potrebbe consentire un'ampia gamma di attività, dal furto di dati all'infezione di altri computer in rete.
Come tentativo di non incriminare Microsoft, consentendo alle persone di pensare che i difetti nel sistema potrebbero aver facilitato questi attacchi, Burton ha affermato che molte delle e-mail sono state bloccate, quindi è possibile escludere la vulnerabilità di qualsiasi prodotto Microsoft su.
In che modo Nobelium attacca le sue vittime?
L'e-mail che gli hacker inviano ha un collegamento incluso e, una volta cliccato su questo collegamento, è praticamente come consegnare ai ladri le chiavi di casa tua.
Dopo aver fatto clic sul collegamento sopra menzionato, viene consegnata una ISO alla macchina in questione, che contiene un documento esca, una scorciatoia e un eseguibile DLL con un caricatore Cobalt Strike Beacon (Zona nativa).
Quando gli utenti eseguono effettivamente questa scorciatoia, la DLL viene eseguita e Nobelium ha accesso gratuito a tutti i tuoi dati, estraendo così tutte le informazioni che desiderano e può persino fornire malware aggiuntivo.
Questa campagna di distribuzione di malware è stata scoperta per la prima volta nel febbraio 2021 da Microsoft, come dettagliato nel post dal Microsoft Threat Intelligence Center.
Microsoft ha dato il via alla battaglia contro questi gruppi malevoli e ha arruolato l'aiuto di altre nazioni che sono disposte ad alzarsi e ad agire contro l'oppressione cibernetica, secondo Tom Burt.
Microsoft continuerà a collaborare con i governi volenterosi e il settore privato per promuovere la causa della pace digitale.
Ricorda che Internet non è solo fantastici sfondi, ottima musica e video divertenti di gatti. Rimanere protetti in questo pericoloso ambiente informatico dovrebbe essere la prima preoccupazione di tutti quando si è online.
Terremo d'occhio questa storia in via di sviluppo e ti informeremo di eventuali cambiamenti che potrebbero verificarsi su questo argomento. Come forse saprai ormai, trattiamo argomenti che coinvolgono gravi minacce ransomware.
Sei mai stato vittima di attacchi informatici? Raccontaci tutto nella sezione commenti qui sotto.
