L’oggetto del contrabbando è del semplice ma pericoloso codice HTML. L’attività è nota come DURI, attiva da luglio 2020. Nota lo è diventata per avere mostrato la capacità di superare varie tipologie di barriere (sandbox, firewall, proxie aziendali, ecc.) di rete pensate per evitare la diffusione di software malevolo e i suoi effetti.
Il senso della vita
L’obiettivo di DURI è di contrabbandare codice HTML5 e Java in modo da poterlo attivare per scaricare file infetti. Per farlo usa URL sul dispositivo cliente o creando dei Blob Javascript con quanto serve per scaricare un file sull’endpoint target. La distribuzione/costruzione di codice mentre il browser è attivo evita l’intercettazione da parte di eventuali software (il sandboxing ad esempio permette di esaminare eventuali file .zip o .exe scaricati rilevandone la pericolosità) o soluzioni approntate per mettere in sicurezza endpoint, utenti e infrastruttura.
Il malware che Duri distribuisce non è nuovo. Secondo Cisco è stato già sperimentato attraverso Dropbox. La sua pericolosità sta oggi nella sua potenziale distribuzione attraverso altri servizi e infrastrutture di hosting facendo aumentare il numero di endpoint potenzialmente infettabili.
La tecnica è piuttosto semplice. Il cybercriminale invia all’utente un link maligno che, se cliccato, scarica attraverso un JavaScript di tipo blob (Binary Large Objetcs) file di malware sul dispositivo.
Duri continua a essere attivo ma è oggi conosciuto. E’ interessante evidenziare come la tecnica usata sia semplice e del tutto tradizionale come se gli hacker criminali continuassero ad affidarsi a metodi vecchi perché continuano a funzionare.
Le aziende dovrebbero riflettere su queste tattiche e soppesare l’adeguatezza delle strategie, delle policy e delle soluzioni per la sicurezza aziendale.