Nuova campagna di avvelenamento SEO che prende di mira gli amministratori IT con malware

Varonis rivela che gli aggressori stanno utilizzando il SEO poisoning per indurre gli amministratori IT a scaricare malware, oltre a una vulnerabilità critica di accesso root nell'utilità di montaggio AZNFS di Azure che colpisce i carichi di lavoro HPC/AI. Aggiorna Azure immediatamente.

I ricercatori di sicurezza informatica di Varonis hanno lanciato l'allarme su due minacce distinte ma significative che colpiscono gli amministratori IT e le infrastrutture cloud. Come sottolineato da Varonis in un post sul blog pubblicato il 2 maggio 2025, negli ultimi due mesi si è osservata una crescente tendenza da parte degli aggressori a utilizzare il SEO poisoning per indurre gli amministratori a scaricare malware camuffati da strumenti legittimi.

Separatamente, il 6 maggio, i Threat Labs dell'azienda hanno segnalato una vulnerabilità critica in un'utilità Azure preinstallata che potrebbe consentire agli utenti senza privilegi di ottenere l'accesso root completo ai sistemi cloud.

La campagna di avvelenamento SEO coinvolge i criminali informatici che manipolano i posizionamenti dei motori di ricerca per posizionare siti web dannosi in cima ai risultati di ricerca per i comuni strumenti di amministrazione IT. Gli amministratori ignari, credendo di scaricare software autentico, installano invece malware che possono portare all'installazione di backdoor come SMOKEDHAM , consentendo un accesso persistente agli aggressori.

Tom Barnea e Simon Biggs, membri del team Varonis MDR Forensics, hanno evidenziato casi in cui questa tecnica ha portato all'implementazione di software di monitoraggio come una versione rinominata di Kickidler ( grabber.exe ), consentendo agli aggressori di osservare segretamente le macchine infette e rubare le credenziali.

Questo accesso iniziale spesso apre la strada all'esfiltrazione dei dati, come si è visto in un caso in cui gli aggressori sono riusciti a trasferire con successo quasi un terabyte di dati fuori dalla rete, per poi crittografare sistemi critici come i dispositivi ESXi del cliente a scopo di riscatto.

In una scoperta separata ma altrettanto preoccupante, Varonis Threat Labs, guidata dal ricercatore Tal Peleg, ha identificato una falla critica nell'utilità AZNFS-mount , uno strumento preinstallato nelle immagini di Azure High-Performance Computing (HPC) e Intelligenza Artificiale (AI). Questa vulnerabilità, che interessa tutte le versioni fino alla 2.0.10, potrebbe consentire a un utente normale di elevare i propri privilegi a root su una macchina Linux.

Secondo la ricerca di Veronis, condivisa con Hackread.com, la falla risiede nel binario " mount.aznfs " che, a causa di permessi errati, potrebbe essere sfruttato per eseguire comandi arbitrari con i privilegi di sistema più elevati. Manipolando una specifica variabile d'ambiente, gli aggressori potrebbero effettivamente assumere il controllo completo dei sistemi Azure interessati.

Varonis Threat Labs ha comunicato responsabilmente questa vulnerabilità a Microsoft Azure, che l'ha classificata come di bassa gravità. Tuttavia, il potenziale impatto derivante dall'ottenimento dell'accesso root all'infrastruttura cloud è significativo, in quanto potrebbe consentire agli aggressori di montare storage aggiuntivo, installare malware e spostarsi lateralmente all'interno degli ambienti cloud. Microsoft ha successivamente rilasciato una correzione nella versione 2.0.11 dell'utilità AZNFS-mount.

Tuttavia, questi risultati dimostrano che i criminali informatici stanno costantemente migliorando le loro tattiche per colpire in modo più efficace le infrastrutture IT critiche. La campagna di SEO poisoning evidenzia la necessità di una maggiore consapevolezza tra i professionisti IT quando scaricano strumenti dai motori di ricerca, anche quelli che appaiono in alto nei risultati di ricerca. La vulnerabilità dell'utilità di Azure sottolinea l'importanza di patch tempestive e di una configurazione accurata delle risorse cloud.

Varonis consiglia alle organizzazioni di implementare una strategia di "difesa in profondità", che includa formazione dei dipendenti, sicurezza degli endpoint, segmentazione della rete e rigorosi controlli degli accessi, per mitigare queste crescenti minacce. Si consiglia ai clienti Azure che utilizzano immagini HPC o NFS per Azure Storage di aggiornare immediatamente la propria utility di montaggio AZNFS.