venerdì 22 giugno 2018

Campagna di email dannose ai danni di utenti italiani distribuisce trojan


Il 19 Giugno scorso il CERT-PA (Pubblica Amministrazione) ha rilevato e denunciato una nuova campagna di email di spam volte alla diffusione di malware contro utenti italiani. Le email, secondo la più classica tecnica di ingegneria sociale, tentanto di far credere ai destinatari di aver avuto scambi di email riguardanti il pagamento di alcune fatture. La peculiarità di queste email è legata al fatto che, contrariamente alla maggior parte delle campagne di spam, sono scritte in un italiano perfetto, cosa che le rende ancora più credibili agli occhi degli utenti. Le organizzazioni maggiormente coinvolte sono legate ai settori delle Telecomunicazioni, Statali, Costruzioni, Educazione e tecnologia. 

Il CERT-PA (report completo disponibile qui) ha analizzato alcuni casi, il primo dei quali vede l'invio di email ad opera, addirittura, di un account PEC:


Nel secondo caso analizzato invece si usa una casella di posta convenzionale:



Tutte le campagne sono accomunate dal metodo di propagazione del malware: i malware sono nascosti in allegati con estensione .xls, ovvero un comune foglio di calcolo di Excel, contenenti macro. Ecco qui alcuni esempi di nome di questi file Excel (basati su Excel 97-2003) compromessi:
  • Fattura di vendita 6809915.xls
  • Fattura ITALIA_06129.xls
  • 63875 fattura di vendita.xls
  • 46552 fattura di vendita.xls
  • Fattura di Vendita 7488104.xls

Le macro contengono codice offuscato, cosa che rende difficile per gli antivirus l'individuazione della compromissione del file. Se un utente, tratto in inganno magari dal senso di urgenza o di importanza (pur sempre di fatture stiamo parlando!) apre il file e abilita il contenuto dinamico (la macro contenuta appunto), si attiva la catena di infezione. In locale viene scaricato un file eseguibile PE contenente un malware della famiglia Sharik: stiamo parlando di un trojan downloader conosciuto col nome Smoke Loader o Dofoil. Dofoil è un payload che diffonde nei computer che infetta un miner di criptovaluta per minare criptovalute sfruttando la CPU dei computer delle vittime. La particolarità è che esegue il mining di Electroneum, una criptovaluta in diffusione dal 2017 per il mobile mining, ma anche di altre valute contemporaneamente. 

La foto sotto mostra al diffusione a livello globale:


La buona notizia è che il tasso di individuazione di questo trojan da parte dei più diffusi antivirus è molto elevato: difficilmente quindi l'infezione può avvenire indisturbata, laddove c'è un software antivirus attivo a proteggere le singole macchine e l'intera rete. 

Nessun commento:

Posta un commento