I ricercatori sulla sicurezza espongono dati sensibili tramite sandbox di analisi dei malware
Gli esperti di sicurezza della società britannica di intelligence sulle minacce Cyjax hanno studiato i dati inviati a tre delle nostre sandbox di analisi del malware online preferite e hanno scoperto che gran parte delle informazioni accessibili al pubblico contengono file potenzialmente sensibili.
L'indagine è stata condotta per tre giorni e ha incluso tre servizi sandbox che consentono agli utenti di caricare file per determinare se sono dannosi o meno.
L'indagine di Cyjax si è incentrata principalmente su documenti PDF e file di posta elettronica (.msg e .eml). Gli esperti di sicurezza hanno trovato oltre 200 fatture e ordini di acquisto, il che non è così strano considerando che le aziende spesso inviano questo tipo di documenti tramite posta elettronica.
In un caso, un'azienda che fornisce un utile strumento di distribuzione per gli amministratori di Windows sembra aver caricato tutti i suoi ordini di acquisto ricevuti nella sandbox.
"Esaminando le fatture, siamo stati in grado di determinare chi stava utilizzando il software, nonché i dettagli di contatto dei responsabili degli acquisti in ciascuna organizzazione: si tratta di informazioni estremamente utili per un attore di minaccia che conduce una campagna di phishing spear o BEC, " , hanno detto gli analisti della sicurezza Cyjax.
Cyjax ha anche individuato dozzine di curriculum e certificati professionali, e persino alcuni, che avevano copie del passaporto. Cyjax ha anche scoperto dati accessibili al pubblico in possesso di certificati assicurativi contenenti dati privati come nomi, numeri di telefono, indirizzi e-mail e indirizzi fisici.
Uno di questi file sembra essere un modulo di richiesta US CENTCOM per l'uso di aerei militari, con nomi, dettagli di contatto dei viaggiatori e contenuti sul viaggio.
CENTCOM e l'azienda che ha caricato tutti questi ordini di acquisto sono stati informati e hanno avviato indagini.
Inoltre, sono stati individuati documenti medici e legali durante i sandbox delle indagini sui malware.
I ricercatori di Cyjax hanno anche analizzato un servizio di scansione degli URL durante il periodo dell'inchiesta e hanno scoperto che molti degli URL inviati indicavano informazioni potenzialmente sensibili ospitate su servizi popolari come Google Drive e il servizio di condivisione file WeTransfer.
"I collegamenti inviati al destinatario previsto sono volutamente grandi e quasi impossibili da indovinare. Inviandoli al servizio di scansione degli URL, vengono pubblicati affinché chiunque possa vederli e accedervi", ha affermato Cyjax.
In uno di questi casi, una scuola superiore negli Stati Uniti ha caricato un link di Google Drive che porta a un file .doc con i nomi e gli indirizzi di oltre 200 studenti. Non solo, ma aveva collegamenti a curriculum e scansioni dei loro ID. La scuola è stata informata da Cyjax ma non ha ancora preso provvedimenti.
"Il volume di documenti sensibili raccolti in soli tre giorni è stato sbalorditivo. In un mese, un attore di minacce avrebbe avuto dati sufficienti per colpire più settori e rubare le identità di più vittime", ha spiegato la compagnia di sicurezza. "Sebbene l'adozione di sandbox di malware sia uno sviluppo positivo, le aziende devono comprendere meglio come vengono elaborati i file che condividono. Molti provider richiedono un pagamento per inviare i file privatamente, il che significa che tutti coloro che utilizzano il servizio gratuito avranno i file condivisi per impostazione predefinita, " Aggiunto Cyjax.
