Il malspam a tema OneDrive colpisce l’Italia: i consigli per proteggersi

Il mondo digitale è sempre più soggetto a varie forme di minacce e le campagne di malspam legate a servizi popolari come OneDrive stanno diventando sempre più comuni. Queste campagne mirano spesso a rubare informazioni sensibili attraverso tecniche di phishing sofisticate.

La minaccia del malspam a tema OneDrive

Le campagne di malspam legate a OneDrive coinvolgono truffe di phishing in cui gli aggressori cercano di impersonare il servizio di cloud storage di Microsoft per ingannare gli utenti e ottenere informazioni riservate.

Questi attacchi possono essere veicolati attraverso e-mail, messaggi diretti o persino tramite annunci ingannevoli online. Le caratteristiche principali di questi tipi di campagne malspam possono essere così riassunte:

1. Messaggi ingannevoli. Gli attaccanti utilizzano spesso messaggi che sembrano provenire direttamente da OneDrive. Utilizzano loghi e stili grafici simili per ingannare gli utenti, inducendoli a pensare che il messaggio sia legittimo.
2. Urgenza e paura. Molti attacchi cercano di generare paura o urgenza negli utenti, ad esempio, avvertendo di un presunto accesso non autorizzato all’account OneDrive o la necessità di risolvere un problema critico.
3. Link fraudolenti. I messaggi contengono spesso link fraudolenti che portano a pagine web malevole. Gli utenti sono indotti a fare click su tali link, mettendo così a rischio le proprie credenziali di accesso.
4. Allegati pericolosi. Alcuni attacchi includono allegati malevoli nei quali è nascosto del malware. Questi allegati possono infettare il sistema dell’utente quando aperti.

La nuova campagna malevola rilevata dal CSIRT Italia

È recentissima l’ultima campagna malspam a tema OneDrive rilevata dal CSIRT Italia che impiega una nuova tecnica di distribuzione di codice malevolo.

Come spiegato nel bollettino di sicurezza “AL02/240130/CSIRT-ITA”, in questo caso il corpo del messaggio, scritto in lingua italiana ma non in modo perfettamente corretto e proveniente da un mittente improbabile, invita l’interlocutore ad aprire un archivio .ZIP allegato contenente un file HTML.

Tale file, qualora aperto, riprodurrebbe una pagina con loghi e grafica afferenti al servizio OneDrive che dopo una presunta attività di caricamento presenta un messaggio popup di errore 0x8004de86, evidenziando l’impossibilità di connessione al servizio per un presunto problema di cache DNS e proponendo di cliccare il pulsante denominato “Come risolvere” per visualizzare le modalità di risoluzione.

Le presunte istruzioni da seguire e riportate in figura consisterebbero nell’aprire una console PowerShell e nel premere col tasto destro del mouse all’interno della shell per attendere il completamento delle operazioni.

In realtà, spiegano gli esperti del CSIRT Italia, “il tasto Come risolvere copia all’interno della clipboard uno script il cui contenuto, alla pressione del tasto destro del mouse nella finestra del terminale, verrà incollato ed eseguito automaticamente da Powershell, portando al download ed esecuzione automatica di codice malevolo da una risorsa remota”.

Tenersi sempre aggiornati riguardo alle minacce online

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le necessarie misure di sicurezza.

In particolare, proteggere sé stessi da campagne malspam richiede vigilanza e consapevolezza.

Essere al corrente delle tattiche utilizzate dagli aggressori è fondamentale per mantenere la sicurezza online.

Come proteggersi dal malspam a tema OneDrive

Ecco alcuni onsigli pratici per difendersi dalla minaccia rappresentata da questa nuova campagna malspam e, più in generale, dalle tecniche di phishing:

1. Verifica del mittente. Verificare sempre attentamente l’indirizzo e-mail del mittente. Se sembra sospetto o non corrisponde alle comunicazioni precedenti, trattalo con cautela.
2. Attenzione a lingua e formattazione. Gli attacchi di phishing spesso contengono errori grammaticali o formattazione scadente. Se il messaggio dovesse sembrare poco professionale, potrebbe trattarsi di un segnale di pericolo.
3. Verifica degli URL. Passare il mouse sopra i link per verificare l’URL effettivo prima di cliccare, assicurandosi che corrisponda all’indirizzo ufficiale della risorsa a cui si riferisce.
4. Sospettare dei messaggi urgenti. Essere sempre cauti di fronte a messaggi che generano urgenza. Verificare sempre la legittimità del messaggio prima di prendere qualsiasi azione.
5. Autenticazione 2FA. Abilitare l’autenticazione a due fattori per aggiungere un livello extra di sicurezza alle tue credenziali, quando possibile.
6. Segnalazione delle attività sospette. Se si sospetta di essere stati oggetto di un attacco di phishing/malspam, segnalare immediatamente l’incidente all’amministratore IT o al supporto tecnico.

Il CSIRT Italia esorta, inoltre, a predisporre periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam e ad evitare di eseguire manualmente istruzioni fornite da sorgenti di dubbia provenienza.