Blog WatchGuard

Go to 

Attacco watering hole vs protezione avanzata degli endpoint

18 Gennaio 2023 Di Manu Santamaria
Watering hole attack endpoint

In un attacco Watering Hole, gli attaccanti devono eseguire una serie di passaggi. Innanzitutto, devono ricercare l'obiettivo e assicurarsi di conoscere il tipo di sito Web frequentato dalla potenziale vittima. Quindi, tentano di infettarlo con codice malevolo in modo che quando la vittima lo visita, il sito Web sfrutti una vulnerabilità nel browser o convinca a scaricare un file che compromette il dispositivo dell'utente.

Attacco Watering Hole: di cosa si tratta?

Questo tipo di attacco è progettato per prendere di mira i dipendenti ( o gruppi specifici di dipendenti) di uno specifico settore, utilizzando i siti Web che vengono da loro visitati regolarmente per attirarli in una trappola che fornisce all’attaccante l'accesso alla loro rete aziendale. Il furto di dati, la perdita economica e il danno reputazionale sono spesso le principali conseguenze degli attacchi watering hole.

Sebbene queste minacce assomiglino molto agli attacchi supply chain, non sono esattamente la stessa cosa. In entrambi i casi gli attaccanti compromettono un servizio di terze parti per infettare altri sistemi. Tuttavia, gli attacchi supply chain in genere compromettono un prodotto che è stato acquistato o un servizio utilizzato dall'obiettivo, mentre un attacco watering hole infetta siti Web neutrali genericamente a disposizione di tutti.

Recenti esempi di attacco Watering Hole

  1. Nitrokod  falso Google Translate per desktop

Alla fine di luglio 2022, è stata rilevata una campagna di malware di mining di criptovaluta che ha infettato dispositivi in 11 paesi. L'attaccante era uno sviluppatore di software chiamato Nitrokod che offre versioni gratuite di applicazioni software popolari che non dispongono di una versione desktop ufficiale. La proposizione di una utility di traduzione, creata utilizzando le pagine Web ufficiali di Google Translate e un framework basato su Chromium, era la sua offerta più popolare ed era disponibile su siti Web freeware, oltre che posizionarsi in alto nei risultati di ricerca per "Download desktop di Google Translate". Le applicazioni sono state modificate con dei Trojan e, una volta installato il software sul dispositivo, il processo di infezione rimaneva inattivo per diverse settimane non destando sospetti. Dopo l'intervallo di inattività, il malware entrava in azione e le vittime ricevevano un file aggiornato che caricava una serie di quattro file dropper sul dispositivo nel corso di pochi giorni. L'ultimo dropper distribuiva il cryptominer XMRig incentrato su Monero prevedendone anche la sua esecuzione. Mentre ciò accadeva, Google Translate continuava a funzionare correttamente e le analisi di sicurezza non hanno sollevato segnali d'allarme. Questa tattica ha permesso alla campagna di operare con successo sotto il radar per anni.

       2. SolarMarker malware 

Nel settembre 2022, il gruppo SolarMarker ha compromesso un sito Web vulnerabile gestito da WordPress per invogliare le sue vittime a scaricare falsi aggiornamenti del browser utilizzato. Questa campagna si rivolgeva ad una organizzazione globale di consulenza fiscale con una presenza negli Stati Uniti, in Canada, nel Regno Unito e in Europa. In questo caso, la vittima era un dipendente dell'azienda che cercava su Google apparecchiature mediche di un produttore specifico. Una volta che il dipendente ha effettuato l'accesso al sito Web compromesso, gli è stato chiesto di scaricare un aggiornamento per il browser Chrome. Il dipendente ha quindi scaricato ed eseguito SolarMarker, che era camuffato da falso aggiornamento. Il falso aggiornamento si basava sul browser utilizzato dalla vittima al momento dell'accesso al sito web infetto. Quindi, se l'utente avesse utilizzato un altro browser, avrebbe impersonato Firefox o Edge.

     3. SocGholish malware su sito di notizie US 

Nel novembre 2022, un gruppo criminale ha compromesso una società di fornitura di contenuti responsabile dei contenuti video e pubblicità presso i principali media statunitensi al fine di distribuire malware attraverso i loro siti web. Durante questa campagna, sono stati presi di mira 250 portali web di giornali nazionali e regionali nel paese. Il malware, chiamato SocGholish, viene visto per la prima volta nel 2018, ed in questo caso e’ stato iniettato in un file JavaScript innocuo che è stato caricato sui siti Web dei media e ha convinto i visitatori a scaricare un falso aggiornamento del browser. Come nel caso precedente, il malware ha assunto la forma del browser utilizzato dall'utente. Una volta che gli attaccanti hanno ottenuto l'accesso iniziale alle reti e’ stato molto facile distribuire ransomware per arrivare allo scopo finale desiderato.

Endpoint protection: difesa efficace contro l’attacco watering hole

Gli attacchi watering hole hanno un alto tasso di successo, poiché compromettono siti Web legittimi e affidabili per gli utenti, in modo che anche i dipendenti più informati e attenti possano cadere nella trappola. Ecco perché è necessaria una soluzione di protezione degli endpoint che in grado di fornire un monitoraggio continuo mirato ad impedire l'esecuzione di processi sconosciuti. Tuttavia, tenendo presente che di fronte ad un tale attacco, le applicazioni potrebbero passare per legittime, la tecnologia utilizzata per difendersi deve proteggere gli utenti da minacce persistenti avanzate (ATP), malware zero day e ransomware, in aggiunta alle altre classiche tecniche di attacco. L'uso dell'intelligenza artificiale e dell'automazione è vantaggioso in termini di esecuzione di azioni di prevenzione, rilevamento, contenimento e risposta. Inoltre, l'analisi comportamentale è ideale per rilevare se la presenza di attori malintenzionati all'interno della rete. La somma di queste funzioni aiuta a raggiungere una sicurezza completa, in grado di respingere watering hole ed altri attacchi sopra citati.

È fondamentale adottare un approccio zero-trust, idealmente con servizi gestiti come troviamo nel Feature Brief - WatchGuard Zero-Trust Application Service che sono in grado di classificare il 100% delle applicazioni come malware o  affidabili, monitorandone l'attivita’ sull'endpoint. Un approccio zero-trust può prevenire sofisticate esecuzioni di minacce, come attacchi  supply chain e  watering hole, osservando il comportamento anomalo di software apparentemente legittimi e riclassificando le applicazioni non appena eseguono attività tipicamente utilizzate dagli attaccanti. Non c'è dubbio che i criminali informatici stiano mettendo in campo tecniche sempre più complesse e difficili da rilevare, ma con la giusta protezione, adottando un approccio ad intelligenza artificiale e zero trust, è possibile affrontarli e mantenere sicure le reti aziendali.

Sei interessato a saperne di più su come WatchGuard Endpoint Security ti aiuta a evitare attacchi come questo? Visita il nostro sito e trova tutte le informazioni.

Condividi questo:

Classificati sotto: Zero Trust, Endpoint Security, Sicurezza degli endpoint
< Blog Home

Posts correlati

< Blog Home