Un attacco di phishing in corso basato su Separ Malware ha infettato centinaia di aziende. Questa campagna di phishing è iniziata alla fine di gennaio e ha colpito oltre 200 aziende e più di migliaia di individui ormai.
Separ Malware è un attacco di furto di credenziali che esiste dalla fine del 2017. Tuttavia, è appena tornata la sua ultima ondata, che è incredibilmente abile da evitare qualsiasi software o servizio di rilevamento di malware.
Finora, ha preso di mira più di 1200 sistemi per rubare il loro browser e le credenziali di posta elettronica. Da quando l'attacco è iniziato alla fine di gennaio, finora ha colpito gran parte del sud-est asiatico, del Medio Oriente e del Nord America.
Secondo gli esperti di sicurezza, "Sebbene il meccanismo di attacco utilizzato da questo software dannoso sia molto semplice e nessun tentativo sia stato fatto dal attaccante per evitare la risoluzione, l'aumento del numero di vittime colpite da questo software dannoso indica che gli attacchi semplici possono essere molto di più efficace."
Leggi anche: Una guida per proteggersi dagli attacchi di spear phishing
La versione aggiornata di Separ Malware è una combinazione di brevi script, file batch e file eseguibili legittimi. Gli attacchi Spear più recenti sono arrivati in un documento PDF via e-mail. Potrebbe rappresentare un'importante quotazione per l'organizzazione o spedizioni aziendali regolari o relativa alle specifiche dell'attrezzatura.
Una volta che una vittima fa clic su di esso, il documento avvia una stringa di altre applicazioni e file, l'auto-estrattore chiama "wscript.exe" per eseguire uno script VB noto come "adobel.vbs". Questi file legittimi vengono ulteriormente abusati per eseguire funzioni dannose, principalmente allo scopo di raccogliere informazioni.
Sulla base di varie fonti, tutti i dati raccolti potrebbero essere utilizzati per attacchi Business Email Compromise, che possono causare una significativa perdita finanziaria alle aziende. La nuova versione di Separ Malware utilizza una serie di strumenti di dumping della password per rubare credenziali e client FTP per caricare i dati raccolti su un servizio legittimo chiamato – freehostia(.)com.
Diversi ricercatori hanno avvertito che la campagna di phishing è ancora in corso. Pertanto, si consiglia all'organizzazione di limitare l'uso di strumenti di scripting per proteggersi da questo attacco. Soluzioni anti-spam popolari come Systweak Anti-malware per Mac e Protezione avanzata del sistema per Windows può anche aiutare a prevenire la consegna delle e-mail infette. Inoltre, non c'è nulla di male nel formare i tuoi dipendenti sulle migliori pratiche di sicurezza della posta elettronica!