L’attacco DEV#POPPER e l’ingegneria sociale

L’ingegneria sociale è una tecnica avanzata utilizzata dagli attori delle minacce per manipolare gli individui al fine di ottenere informazioni riservate o indurli a compiere azioni che normalmente non farebbero. Questo metodo si basa sullo sfruttamento delle vulnerabilità umane, con la manipolazione psicologica per giocare sulla fiducia, la paura o il semplice desiderio di essere d’aiuto.

Il caso dell’attacco DEV#POPPER, osservato dai ricercatori Securonix, è un esempio interessante di ingegneria sociale che prende di mira gruppi professionali specifici, come gli sviluppatori di software. Un trend questo che sebbene non estremamente prevalente al momento, è stato adottato in passato da attori di minacce nordcoreani.

Gli attaccanti organizzano false interviste di lavoro per gli sviluppatori, fingendosi legittimi intervistatori. Gli aggressori adattano il loro approccio per apparire il più credibili possibile, spesso imitando aziende reali e replicando processi di intervista effettivi. Durante queste interviste, agli sviluppatori viene spesso chiesto di scaricare ed eseguire software da fonti che sembrano legittime, come GitHub ma che contengono un payload Node JS dannoso che, una volta eseguito, compromette il sistema dello sviluppatore con un RAT (Remote Access Trojan) basato su Python.

Questo metodo è efficace perché sfrutta l’impegno professionale dello sviluppatore e la fiducia nel processo di candidatura per un lavoro, dove il rifiuto di eseguire le azioni richieste dall’intervistatore potrebbe compromettere l’opportunità di lavoro“, spiega il rapporto.

Caratteristiche del RAT

Dopo aver stabilito il contatto e persuaso l’interlocutore ad avviare un’attività di codifica standard da un repository GitHub, la vittima esegue un file NPM contenuto in un archivio ZIP, che attiva un file JavaScript offuscato per scaricare un archivio aggiuntivo da un server esterno. All’interno dell’archivio si trova il payload Python.

Il RAT appena attivo sul sistema della vittima, è in grado di raccogliere e inviare informazioni di sistema al server di comando e controllo C2, tra cui il tipo di sistema operativo, il nome host e dati di rete tramite richieste HTTP POST e di supportare connessioni persistenti, comandi remoti, esflitrazione FTP e keylogging.

Come Proteggersi

Per proteggersi da questi attacchi, è fondamentale essere consapevoli dei seguenti punti:

– Verifica l’identità: Assicurati sempre che la persona o l’organizzazione con cui stai interagendo sia legittima.

– Proteggi le informazioni personali: Non divulgare mai informazioni personali o aziendali sensibili senza aver verificato l’autenticità della richiesta.

– Attenzione ai download: Sii cauto quando scarichi software da Internet, anche da siti che sembrano affidabili.

– Educazione e formazione: Le aziende dovrebbero fornire formazione regolare sui rischi dell’ingegneria sociale e su come riconoscere e prevenire gli attacchi.

L’attacco DEV#POPPER ricorda che l’ingegneria sociale è una minaccia significativa e in continua evoluzione. La consapevolezza e la vigilanza sono le migliori difese contro questi attacchi sofisticati e mirati.

Iscriviti alla Newsletter settimanale di Computer Security News

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.