Pare non esserci pace per l'Italia, bersaglio in questo secondo semestre del 2019 di un grande numero di campagne di distribuzione malware, sopratutto banking trojan, infostealer e ransomware. Dopo l'allarme di pochi giorni fa riguardante centinaia di domini .it Wordpress compromessi per diffondere il malware Gbot, il CERT-PA ha diramato ieri un nuovo alert: una vasta campagna di email di spam sta diffondendo un pericoloso malware.
Qualche dettaglio tecnico
La campagna in atto usa il canale di posta certificata PEC per diffondere il malware sLoad, contenuto in allegato entro un archivio in formato .ZIP. Lo schema è del tutto simile ad una campagna già precedentemente analizzata dal CERT-PA (che abbiamo descritto qui) e prende di mira principalmente professionisti e privati.
 |
| Fonte: https://www.cert-pa.it |
L'email vettore è simile a quella pubblicata sopra e avente un oggetto e un corpo del testo che sembrano richiamare una comunicazione ufficiale dell'Agenzia delle Entrate. C'è perfino un richiamo alla legge sulla Privacy 196/2003, una diffida a divulgare il contenuti dell'email e un invito a verificare la veridicità della comunicazione direttamente presso l'Agenzia delle Entrate: parliamo di meccanismi di ingegneria sociale pensati per convincere la vittima della legittimità e veridicità della comunicazione stessa. Rispetto alle classiche email di spam poi, solitamente costellate di errori grammaticali e di sintassi, il testo è scritto in italiano corretto, fattore che può ulteriormente spingere la vittima a fidarsi dell'email appena ricevuta. Infine è da notare anche come l'email imiti perfino lo stile e i modelli di comunicazione dell'Agenzia delle Entrate. Ovviamente le comunicazioni reali dell'Agenzia differiscono sia per mittente PEC che per tipo di allegato, dato che l'Agenzia utilizza file formato .p7m, ovvero PDF con firma digitale.
L'allegato è un archivio .zip che contiene due file con lo stesso nome, ma di formati diversi: uno è un file PDF, l'altro un file .vbs.
 |
| Fonte: https://www.cert-pa.it |
Se l'utente prova ad aprire il file .PDF visualizza un messaggio di errore volutamente provocato dall'attaccante, allo scopo di indurre la vittima ad aprire il secondo file, che è poi il file responsabile dell'avvio della catena di infezione.
La catena di infezione in breve:
L'apertura del file .vbs fa conseguire l'accesso ad un file .jpg su un server remoto: questo viene scaricato e salvato in locale nel percorso c:\Users\Public\Downloads. Il file si auto esegue senza interazione dell'utente e inizia l'infezione.
Il CERT-PA raccomanda di non aprire alcun allegato contenuto in email provenienti da caselle PEC di professionisti o società a vario titolo aventi in oggetto:
- COMUNICAZIONE XXXXXXXXXX [ENTRATE|AGEDCXXX|REGISTRO
- COMUNICAZIONI|XXXXXXX][XXXXXXXXX|XXXXXXXXX]
Un'ulteriore campagna è in corso proprio in queste ore.
sLoad: qualche info in più
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l'avvio ci sono tutte le informazioni relative alla macchina infettata (dall'architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:
- sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall'infezione, per distribuire ulteriori malware nelle macchine già colpite;
- sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
- sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.
Nessun commento:
Posta un commento