Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Scoperte di Darktrace nelle e-mail: raro tipo di file usato per eludere gli strumenti gateway

Mariana Pereira, Director of Email Security Products | giovedì 27 agosto 2020

Darktrace ha recentemente individuato una serie di attacchi e-mail che utilizzavano un determinato livello di social engineering per convincere i destinatari ad aprire un link ingannevole e divulgare le proprie credenziali. In questo blog, analizzeremo un attacco basato su e-mail che aveva come obiettivo un cliente spagnolo e che includeva un contenuto pericoloso nascosto in un tipo di file insolito che non viene regolarmente verificato dai tradizionali sistemi di sicurezza della posta elettronica.

Un file ISO, spesso indicato come immagine ISO, è un file di archivio che contiene una copia identica dei dati che si trovano su un supporto ottico, come un CD o un DVD. Sono usati principalmente per il backup di dischi ottici o per la distribuzione di grandi insiemi di file che devono essere masterizzati su un disco ottico. Poiché sono relativamente insoliti e si tratta solitamente di file estremamente grandi, molti dei controlli standard per le e-mail non li analizzano in modo approfondito o addirittura non li analizzano affatto.

Darktrace ha individuato un pirata informatico che utilizzava file ISO per lanciare un attacco ai danni di un distributore alimentare in Spagna. L’organizzazione, che aveva installato Antigena Email proprio due settimane prima, ha ricevuto circa 84 e-mail dallo stesso mittente, ognuna contenente un pericoloso allegato ISO. Le e-mail sono state inviate dall’indirizzo [email protected][.]com, uno spoofing ingegnoso e ben eseguito dell’indirizzo e-mail [email protected][.]com, il contatto e-mail di un produttore spagnolo legittimo, che è anche un possibile fornitore dell’organizzazione vittima dell’attacco.

100%
Fri Jun 12 2020, 03:02:27
From:Beronico Baudo <[email protected]>
Recipient:Gordiano Laurenzo <[email protected]>
Order [Valenplas _06/2020]
Email Tags
Spam
New Contact
Wide Distribution
Actions on Email
Move to Junk
Hold Message
Convert Attachment
Lock Link
Strip Attachment

Figura 1: Istantanea interattiva dell’interfaccia utente di Antigena Email

Darktrace ha notato che il mittente non era mai comparso in precedenza in alcuna corrispondenza all’interno dell’azienda. Inoltre, l’ambito personale non corrispondeva all’intestazione dell’e-mail stessa, cioè ciò che dovrebbe essere visibile al destinatario. Mettendo in correlazione l’indirizzo IP e le verifiche, l’Ai di Darktrace ha individuato che il vero mittente non corrispondeva al dominio valeplaz[.]com.

L’oggetto suggeriva che l’e-mail fosse relativa ad un ordine fatto dal cliente. Analizzando gli allegati, Darktrace ha reso visibile un file nominato URGENTE_PO_120620.iso. Il nome del file suggeriva un tentativo da parte del mittente di utilizzare la tattica dell’urgenza associata al social engineering al fine di allarmare il destinatario, convincendolo ad agire e a fare clic su un link o aprire allegati senza prima valutare attentamente i dettagli dell’e-mail.

L’AI di Darktrace ha riconosciuto anche l’estensione del file .iso come estremamente anomala per il gruppo, l’utente e l’organizzazione nel suo complesso. Cosa ancora più sospetta, la dimensione dell’allegato era incredibilmente piccola (solo 485,4 kB) e ciò rendeva estremamente improbabile che fosse, di fatto, una reale fattura allegata in formato PDF o Word. Queste scoperte, insieme ai tag New Contact (Nuovo contatto) e Wide Distribution (Ampia distribuzione) associati all’e-mail, hanno fatto sì che Antigena Email eliminasse gli allegati dall’e-mail e che la stessa non fosse recapitata nella casella di posta in arrivo di ogni destinatario. Inoltre, l’AI di Darktrace aveva rilevato che l’e-mail conteneva un link anomalo ritenuto estremamente sospetto e ha pertanto bloccato il link in tutte le e-mail, mentre il team della sicurezza indagava sull’incidente.

Figura 2: Il link sospetto in questione

Fermare un attacco anche senza un paziente zero

Quando in seguito il team della sicurezza ha verificato l’hash del file nell’allegato, ha scoperto che alcuni fornitori di anti-virus, inclusa Microsoft, lo avevano già etichettato come malware. La sfida più importante è bloccare l’e-mail pericolosa alla prima istanza, prima che sia recapitata nella prima casella di posta in arrivo. Grazie al continuo aggiornamento della comprensione del “sé”, l’AI di Darktrace è in grado di fare esattamente questo: bloccare gli attacchi prima sia infettato un “paziente zero”.

In aggiunta, molte soluzioni tradizionali non avevano nemmeno riconosciuto questo file come pericoloso, suggerendo che si trattasse di un attacco relativamente nuovo. Ciò comporta una limitazione sempre più evidente relativa a tali strumenti: i pirati informatici rinnovano le proprie infrastrutture di attacco così spesso che non importa con quale frequenza vengano aggiornati gli strumenti tradizionali o le blacklist, perché di fatto saranno sempre immediatamente obsoleti.

Antigena Email ha rilevato questo attacco senza fare affidamento su firme o blacklist, ma comprendendo invece cosa fosse normale o meno relativamente all’e-mail, al file e al comportamento esclusivi per l’azienda. Grazie alla Cyber AI che proteggeva la casella di posta elettronica, questa organizzazione è stata in grado di contrastare questo attacco fin dal primo istante, prima che le e-mail fossero recapitate in una caselle di posta in arrivo o un dipendente facesse clic sul link.

Scoprite maggiori informazioni sull’AI Email Security

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.