Il Cert-PA e la compagnia di cyber sicurezza Yoroi hanno diramato due diversi alert riguardanti campagne di diffusione malware via email rivolte contro utenti italiani. Una prima campagna diffonde il trojan Emotet tramite caselle di Posta Elettronica ordinaria. La seconda invece diffonde il trojan Ursnif tramite false comunicazioni di noti Corrieri quali GLS. Vediamole in dettaglio:
1. La campagna di diffusione di Emotet
la rilevazione è avvenuta ad opera del Cert-PA, che ha individuato una campagna di email di spam con riferimenti al Ministero dell'Economia e Finanze (MEF) e all'Ispettorato Generale di Finanza (IGF), un portale che ospita vari applicativi correlati alle funzioni di vigilanza.
Il corpo email contiene un link che, all'apparenza, sembra condurre ad un documento istituzionale del MEF: in realtà reindirizza verso un dominio compromesso nel quale è in download un file .doc che ha funzioni di downloder del malware Emotet. Il tutto avviene tramite traffico SSL, così le parti di codice e i componenti dannosi del malware supereranno almeno i livelli basilari di sicurezza.
Fonte: https://www.cert-pa.it/ |
Inutile dire quanto sia "azzeccata e pericolosa" la scelta di utilizzare riferimenti al MEF in termini di possibilità per l'attaccante di indurre e indirizzare le azioni della vittima. La catena di infezione si avvia quando l'utente, una volta scaricato il documento dannoso, lo apre e abilita la macro contenuta: a questo punto viene scaricato ed eseguito in locale un file PE che conduce all'installazione di Emotet.
Il malware Emotet
E' un trojan modulare sviluppato per rubare informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot. Emotet gestisce una botnet come malware-as-a-service (MaaS), affittabile nel dark web e che quindi mette in condizione i cyber criminali di poter affittare una imponente infrastruttura per diffondere nuovi malware.
Per approfondire >> L'evoluzione di Emotet: da trojan a complesso distributore di minacce
2. La falsa email del corriere consegna Ursnif
Yoroi ha individuato una campagna di email di malspam rivolta contro aziende italiane. Le email truffaldine simulano comunicazioni relative a fatture o documenti di carico o status di invio di noti corrieri espresso italiani. Tutte le email contengono un documento Excel compromesso, pensato per attivarsi solo ed esclusivamente su macchine sulle quali è impostato l'italiano come lingua di sistema.
L'excel contiene la solita macro dannosa, la cui abilitazione comporta l'installazione di Ursnif.
Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).
Per approfondire >> Ursnif, il malware che minaccia l'Italia: vediamolo da vicino
Nessun commento:
Posta un commento