Abuso di Google Sheets per il controllo del malware

Il mondo della cybersecurity è sempre più complesso e sofisticato, con nuove tecniche di attacco che emergono costantemente. Uno dei più recenti e inquietanti metodi di attacco è l’abuso di Google Sheets per il controllo del malware. Questo tipo di attacco rappresenta una minaccia significativa per le organizzazioni e gli individui, poiché utilizza una piattaforma familiare e fidata per nascondere la sua vera natura malvagia. In questo articolo, esploreremo questo nuovo metodo di attacco, analizzeremo le sue caratteristiche e forniremo consigli per proteggersi contro di esso.

La scoperta dell’abuso di Google Sheets

L’abuso di Google Sheets per il controllo del malware è stato inizialmente scoperto da Proofpoint il 5 agosto 2024. Questa scoperta ha rivelato che i malintenzionati stanno utilizzando Google Sheets come meccanismo di controllo e comando (C2) per condurre campagne di spionaggio informatico. I malintenzionati stanno impersonando autorità fiscali di vari paesi, tra cui gli Stati Uniti, il Regno Unito, la Germania, la Francia, l’Italia, l’India e il Giappone.

Il metodo di attacco

Il metodo di attacco è complesso e sofisticato. Ecco come funziona:

1. Impersonazione delle autorità fiscali: I malintenzionati inviano 20.000 email false che sembrano provenire da autorità fiscali. Queste email informano i destinatari di un “cambio” nelle loro dichiarazioni fiscali e li invitano a cliccare su URL di Google AMP Cache.
2. Verifica del sistema operativo: I URL inviano l’utente a una pagina che verifica se il sistema operativo utilizzato è Windows. Se è così, il sistema utilizza il protocollo handler search-ms: per mostrare un file LNK (shortcut) che sembra un file PDF, inducendo l’utente a lanciarlo.
3. Esecuzione del malware: Se il file LNK viene eseguito, invoca PowerShell per eseguire Python.exe da una condivisione WebDAV. Questo causa Python a eseguire uno script senza scaricare file sul computer, caricando le dipendenze direttamente dalla condivisione WebDAV.

4. Raccolta e invio di informazioni: Lo script Python raccoglie e invia informazioni del sistema in forma di stringa Base64. Una volta inviata, viene mostrato un file PDF decoy e scaricato un file ZIP sul sistema.
5. Esecuzione di payload: Il file ZIP contiene un eseguibile (CiscoCollabHost.exe) suscettibile a sideloading DLL e un DLL malvagio (CiscoSparkLauncher.dll). Il payload è eseguito, permettendo ai malintenzionati di eseguire comandi e di esfiltrare dati utilizzando Google Sheets come C2.

Settori target

I settori target di questo attacco sono diversificati e includono:

• Assicurazioni
• Aerospaziale
• Trasporti
• Accademia
• Finanza
• Tecnologia
• Industria
• Sanità
• Automotive
• Ospitalità
• Energia
• Governo
• Media
• Manifattura
• Telecomunicazioni
• Benefici sociali

Consigli per la protezione

Per proteggersi contro questo tipo di attacco, è essenziale adottare una serie di misure di sicurezza:

1. Sorveglianza delle email: Verificare l’autenticità delle email ricevute, soprattutto quelle che sembrano provenire da autorità fiscali.
2. Utilizzo di antivirus: Utilizzare un antivirus aggiornato per rilevare e bloccare eventuali malware.
3. Configurazione del sistema operativo: Assicurarsi che il sistema operativo sia aggiornato e configurato correttamente per evitare l’esecuzione di script malvagi.
4. Formazione del personale: Educazione del personale tecnico e non tecnico sulla pericolosità di aprire file sconosciuti e su come riconoscere gli attacchi.
5. Monitoraggio delle attività: Monitorare le attività del sistema per rilevare eventuali comportamenti sospetti.
6. Utilizzo di strumenti di sicurezza: Utilizzare strumenti di sicurezza come i firewall e le soluzioni di sicurezza avanzate per proteggere i dati e i sistemi.

Suggerimenti e consigli aggiuntivi

• Utilizzo di strumenti di sicurezza: Utilizzare strumenti di sicurezza come i firewall e le soluzioni di sicurezza avanzate per proteggere i dati e i sistemi.
• Formazione continua: Offrire formazione continua al personale tecnico e non tecnico sulla cybersecurity e su come riconoscere gli attacchi.
• Test di sicurezza: Eseguire regolarmente test di sicurezza per identificare e correggere eventuali vulnerabilità.
• Monitoraggio delle attività: Monitorare le attività del sistema per rilevare eventuali comportamenti sospetti.
• Utilizzo di piattaforme di sicurezza cloud: Utilizzare piattaforme di sicurezza cloud per proteggere i dati e i sistemi in modo remoto.

L’abuso di Google Sheets per il controllo del malware rappresenta un nuovo e sofisticato metodo di attacco che può essere difficile da rilevare. Tuttavia, adottando una serie di misure di sicurezza e mantenendo una vigilanza costante, è possibile ridurre significativamente il rischio di essere vittima di questo tipo di attacco. È essenziale che le organizzazioni e gli individui siano consapevoli di questa minaccia e prendano le necessarie precauzioni per proteggere i loro sistemi e i loro dati.

Fonte: https://securityboulevard.com/2024/09/espionage-alert-google-sheets-exploit-for-malware-control/