L'attacco che avvelena i siti web che visiti ogni giorno. Come un predatore che aspetta all'abbeveratoio, i criminali compromettono i siti fidati per colpirti.
Un watering hole attack(attacco all'abbeveratoio) funziona esattamente come un predatore in natura: invece di inseguire la preda, aspetta dove sa che la preda andra' a bere. Nel mondo digitale, il “abbeveratoio” e' un sito web che il target visita regolarmente.
L'attaccante identifica i siti che il suo bersaglio frequenta — un portale di settore, un forum professionale, il sito di un'associazione di categoria — e li compromette inserendo codice malevolo. Quando la vittima visita il sito, viene infettata automaticamente, senza cliccare nulla di sospetto.
Il collegamento con l'email
I link a siti watering hole vengono spesso distribuiti via email. Un'email apparentemente innocua — “Leggi il nuovo report del settore”, “Iscriviti al prossimo evento” — contiene un link a un sito legittimo ma gia' compromesso. La vittima si fida perche' conosce il sito. Ed e' proprio questa fiducia che l'attaccante sfrutta.
L'attaccante studia il bersaglio: quali siti web visita il team IT? Quali portali usa l'ufficio acquisti? Quali forum frequentano i dirigenti? Questa fase puo' durare settimane.
L'attaccante trova una vulnerabilita' nel sito target (un CMS non aggiornato, un plugin vulnerabile) e inietta codice malevolo. Il sito continua a funzionare normalmente — nessuno se ne accorge.
Per accelerare l'attacco, l'attaccante invia email con link al sito compromesso. "Nuovo report disponibile", "Aggiornamento importante del settore". Il link punta a un sito reale e conosciuto, quindi i filtri tradizionali non lo bloccano.
Quando la vittima visita il sito, il codice malevolo sfrutta vulnerabilita' del browser o dei plugin per installare malware. In molti casi, basta visitare la pagina — nessun clic extra richiesto (drive-by download).
Il malware installato apre una backdoor nella rete della vittima. L'attaccante ha l'accesso iniziale. Da qui puo' muoversi lateralmente, rubare dati o preparare un attacco piu' ampio.
Il watering hole e' uno degli attacchi piu' insidiosi perche' sfrutta la fiducia. Non ti chiedono di visitare un sito sconosciuto — ti mandano dove vai gia'.
Il link punta a un sito che conosci e di cui ti fidi. Nessun campanello d'allarme. Nessun dominio sospetto. Il filtro antispam tradizionale non lo blocca perche' il dominio ha ottima reputazione.
Con un drive-by download, basta visitare la pagina. Il codice malevolo si esegue automaticamente sfruttando vulnerabilita' del browser. Non devi scaricare nulla.
Il sito compromesso continua a funzionare normalmente. Il codice malevolo e' nascosto e spesso attivato solo per IP specifici (quelli del target), rendendo l'analisi molto complessa.
Il watering hole e' una tecnica tipica degli attacchi APT (Advanced Persistent Threat). Gruppi sponsorizzati da stati lo usano per colpire aziende in settori strategici.
MailSniper non puo' impedire che un sito web venga compromesso. Ma puo' bloccare il vettore di distribuzione principale: le email con link a siti watering hole.
Ogni link nelle email viene analizzato in tempo reale. MailSniper visita l'URL, analizza il contenuto della pagina e rileva codice malevolo iniettato, anche su siti con buona reputazione.
I link vengono ricontrollati quando l'utente clicca, non solo alla consegna. Se un sito viene compromesso dopo che l'email e' arrivata, MailSniper lo rileva comunque.
I file scaricati dai link vengono eseguiti in un ambiente isolato. Se il sito compromesso tenta di distribuire malware, la sandbox lo intercetta prima che raggiunga il dispositivo.
MailSniper si aggiorna costantemente con i feed di threat intelligence globali. Quando un sito viene segnalato come compromesso, tutti i link verso quel sito vengono bloccati immediatamente.
Gli attacchi APT usano spesso il watering hole come vettore di accesso iniziale alla rete del target.
I siti watering hole sfruttano spesso exploit zero-day per infettare i visitatori senza interazione.
Il watering hole e' un metodo di distribuzione malware attraverso siti web compromessi.