Come proteggersi da DanaBot Malware distribuito tramite file Word
L’industria della sicurezza informatica ha recentemente osservato un aumento di attacchi basati su file Word armati che distribuiscono il malware DanaBot. Questi attacchi si verificano tramite email campagne che distribuiscono documenti Word malevoli, che a loro volta innescano una catena di eventi che portano all’installazione di DanaBot.
Modalità di distribuzione di DanaBot
Le campagne email malevole che distribuiscono DanaBot utilizzano due tipi di documenti:
- Documenti che sfruttano le vulnerabilità dell’editor di equazioni.
- Documenti contenenti link esterni, dove gli attaccanti inviano email mascherate da candidature di lavoro con un documento Word malevolo allegato.
Il documento stesso non contiene malware, ma inganna l’utente a cliccare su un link esterno che avvia il processo di infezione di DanaBot.
Processo di infezione di DanaBot
Un sistema di rilevamento e risposta endpoint (EDR) ha scoperto una catena di processi sospetti innescata da un allegato di email malevolo. L’allegato, un documento Word (.docx), ha causato Outlook (outlook.exe) a eseguire una sequenza di eventi che ha coinvolto Word (winword.exe), Command Prompt (cmd.exe), PowerShell (powershell.exe), e un eseguibile potenzialmente dannoso (iu4t4.exe) utilizzando rundll32.exe.
Il documento macro malevolo (w1p4nx.dotm) esegue comandi CMD codificati che vengono decodificati utilizzando il codice macro, che include uno script PowerShell che scarica il malware DanaBot (iu4t4.exe) da un server di comando e controllo (C2).
Tecniche di evasione di DanaBot
L’analisi dell’EDR ha rivelato che DanaBot utilizza una tecnica di iniezione di sé stesso, dove il malware sfrutta rundll32.exe per eseguire le funzionalità di shell32.dll, operando sotto la sua copertura e bypassando la rilevazione per stabilire la persistenza.
Attività dannose post-infezione di DanaBot
I dati EDR indicano attività dannose post-infezione di DanaBot, tra cui la cattura di screenshot, il furto di informazioni sensibili dal PC e il furto delle credenziali di account del browser, potenzialmente compromettendo il sistema senza richiedere una comunicazione costante con il server di comando e controllo.
Come proteggersi da DanaBot
Per proteggersi da DanaBot, è importante seguire queste best practice:
- Aggiornare regolarmente il software: Assicurarsi che il software, inclusi i sistemi operativi e le applicazioni, sia aggiornato con le ultime patch di sicurezza per ridurre il rischio di sfruttamento delle vulnerabilità.
- Esercitare la cautela con gli allegati di email sospetti: Non aprire allegati di email sospette o provenienti da mittenti sconosciuti, specialmente se richiedono azioni immediate o contengono documenti Word o Excel.
- Utilizzare software antivirus affidabili: Utilizzare software antivirus affidabili e mantenerli aggiornati con le ultime definizioni dei virus per rilevare e bloccare i malware noti.
- Configurare il software di sicurezza: Configurare il software di sicurezza per bloccare l’esecuzione di script dannosi e limitare i privilegi degli utenti per ridurre il rischio di infezione da malware.
- Educare gli utenti: Educare gli utenti sui rischi associati ai malware e alle email di phishing, e fornire loro linee guida su come identificare e segnalare tali email.
- Monitorare attivamente la rete e i sistemi: Monitorare attivamente la rete e i sistemi per rilevare e rispondere rapidamente a qualsiasi attività sospetta o attività dannose.
- Eseguire il backup dei dati: Eseguire il backup dei dati regolarmente e testare i backup per garantire che possano essere ripristinati in caso di infezione da malware o altri incidenti di sicurezza.
Le campagne email che distribuiscono DanaBot tramite documenti Word armati rappresentano una minaccia significativa per la sicurezza informatica. Tuttavia, seguendo le best practice di sicurezza e adottando un approccio proattivo alla sicurezza, è possibile ridurre il rischio di infezione da DanaBot e altri malware.
Fonte: https://cybersecuritynews.com/danabot-malware-via-weaponized-word-files/
