Prodotti e Servizi PRODOTTI & SERVIZI

Nuova ricerca dei SophosLabs sul generatore di document exploit Ancalog

Nella comunità del malware un metodo molto conosciuto per la sua diffusione è il document exploit. Una teoria comune sul motivo per cui i cybercriminali utilizzano documenti contenenti exploit è che le vittime possono essere più facilmente convinte ad aprire un documento allegato che non un eseguibile.  

I documenti Word, Excel e PDF che racchiudono i cosiddetti exploit si presentano con un trucchetto in più e cioè non hanno bisogno che le loro vittime abilitino le macro manualmente, come accade invece spesso nel caso dei VBA downloaders.

La recente ricerca dei SophosLabs analizza i motivi di un numero crescente di malware basato sul document exploit e indaga sulla popolarità di lunga durata del generatore di document exploitation chiamato Ancalog, disponibile anche in commercio.

Da notare che molte delle vulnerabilità sfruttate da Ancalog sono state patchate parecchi anni fa e spesso hanno dato davvero scarsi risultati agli attaccanti.

Tuttavia la facilità con cui i documenti trappola possono essere creati con il kit Ancalog lo ha reso lo strumento di attacco preferito da molte organizzazioni criminali informatiche in Russia e Nigeria che mirano a colpire le nazioni asiatiche e africane.

Questi gruppi di criminalità informatica hanno utilizzato questo metodo costantemente negli ultimi due anni, e non vi è alcun segnale che intendano rinunciare. La pronta disponibilità di strumenti per la creazione di exploit nel cyber-underground ha aperto le porte del document exploitation a una vasta gamma di criminali, e Ancalog è il più popolare di questi strumenti.

Naturalmente, la dipendenza di questi criminali da strumenti commerciali come Ancalog che si basano su vecchi exploit è uno svantaggio per loro e un vantaggio per chi li combatte. Ancalog non fa uso di exploit zero-day o di nuovi exploit. Persino il più recente exploit nel suo arsenale è stato fissato un anno fa e i buchi di sicurezza più comunemente utilizzati sono del 2010 e 2012.

In altre parole, basta applicare le patch correnti per Microsoft Office per risultare immuni agli attacchi di Ancalog.

Leggete questo nuovo documento tecnico di Sophos per capire a fondo Ancalog e come viene usato dai cybercriminali per attuare attacchi di document exploitation.

Lascia un commento

Your email address will not be published. Required fields are marked *