Operazione Toohash: i malware si celano sotto le sembianze di cv e allegati
Il cyber attack Toohash mirato alle aziende e alle organizzazioni di vario tipo ha il solito scopo di ottenere informazioni sensibili.
L’approccio utilizzato questa volta è di tipo spear-phishing, una variante più elaborata del phishing a indirizzo mirato, che si basa sull’invio di email contenenti allegati trojan.
Questi documenti sembrano all’apparenza della pubblicità, o del curriculum vitae, inviati per lo più al dipartimento risorse umane. Per questa ragione sembrano abbastanza autentici.
A prima vista, la maggior parte dei file pare sia stata spedita da Taiwan. Gli esperti di sicurezza ritengono che questo spyware sia stato utilizzato su obiettivi situati anche in altre parte della Cina e per tale motivo gli esperti hanno identificato il malware come appartenente alla famiglia Win32 Trojan Cohhoc.A e win32 Trojan DirectsX.A.
“Il malware negli allegati delle email sfrutta specificatamente una vulnerabilità in Microsoft Office e scarica un tool di accesso remoto sui computer infetti” ha detto Ralf Benzmüller di G DATA SecurityLabs.
“In questa campagna abbiamo identificato due differenti tipologie di malware. Entrambe contengono noti componenti usati nel cyber spionaggio come moduli per l’esecuzione automatica di codici, file listing, furto di dati, eccetera”.
I server censiti finora (più di 75) sono localizzati a Hong Kong e negli Stati Uniti, mentre la console di amministrazione che gli hacker hanno usato per controllare i computer infetti è in parte cinese e in parte inglese. In quest’ultimo caso, aziende esterne europee e italiane potrebbero cadere nella tentazione di aprire gli allegati, contribuendo alla diffusione dell’infezione.
Importanti piani di costruzione, dati dei clienti, business plan, email e altri dati sensibili aziendali sono dati che, una volta rubati, diventano molto ambiti, soprattutto nel mercato del business aziendale.
Gli acquirenti dei dati rubati vengono scoperti velocemente e di norma si tratta di aziende concorrenti e servizi segreti.
La perdita di dati, inoltre, può rappresentare un danno commerciale e finanziario per le aziende interessate