Secure email gateway: difese superate usando compressione e offuscamento

I ricercatori di Cofense parlano delle tecniche che i criminali informatici stanno sempre più frequentemente utilizzando per superare le difese dei secure email gateway (SEG) e arrivare nelle caselle di posta degli utenti finali.

I SEG sono ampiamente usati in ambito aziendale e sono considerabili come veri e propri baluardi contro phishing ed email contenenti allegati pericolosi.
Come spiega Cofense, però, molti SEG soffrono di limitazioni che vengono sfruttate da chi pone in essere campagne malware.

Molti SEG hanno difficoltà nel gestire archivi allegati alle email che vengono compressi più volte. Così gli aggressori nascondono il codice malevolo in più archivi compressi “nidificati” cioè contenuti l’uno all’interno dell’altro.
Per massimizzare l’efficacia dell’attacco si usano JavaScript dannosi che una volta aperta sul sistema della vittima dispongono il download e l’esecuzione di eseguibili scaricati da server remoti.

Cofense cita il caso del malware BazarBackdoor che utilizzando un JavaScript con codice offuscato contenuto in una serie di archivi compressi, in diversi formati, allegato all’email scarica un file in formato PNG effettuando una normale richiesta HTTP GET. Il file PNG è in realtà un eseguibile che una volta scaricato in locale viene rinominato e avviato.

Nel caso di specie BazarBackdoor è un malware che viene utilizzato per caricare sui sistemi infetti ulteriori componenti dannosi e che integra abilità per favorire i cosiddetti movimenti laterali ossia per estendere rapidamente l’attacco ai dispositivi collegati in rete locale, sottraendo dati, monitorando le attività degli utenti e danneggiando i file altrui.

La corretta formazione e informazioni di dipendenti e collaboratori restano quindi attività essenziali. L’utilizzo di un gateway centrale per la gestione della posta elettronica non può e non deve essere considerato come un’assoluta garanzia di sicurezza.