In questi giorni, una nuova truffa bancaria della finta email INAIL sta colpendo il nostro Paese: gli indirizzi PEC italiani sono intasati da una massiccia campagna di malspam avente come oggetto INAIL Comunica XXXXXXX (dove la stringa “XXXXXXXX” viene sostituita da un numero casuale di 8 cifre).
I messaggi di posta elettronica si presentano come provenienti dal dominio legalmail.it e hanno lo scopo di infettare l’utente con una ennesima variante del banking trojan Gootkit, il cui scopo è quello di rubare dati bancari o intromettersi direttamente nelle attività di banking on-line degli utenti.
Questa nuova truffa bancaria della finta e-mail INAIL è dunque la conferma che gli indirizzi PEC italiani sono ormai uno dei bersagli preferiti dal malware Gootkit, che si diffonde utilizzando altri indirizzi di posta elettronica certificata precedentemente compromessi per acquisire la credibilità necessaria a convincere le potenziali vittime ad abbassare il loro livello di guardia e aumentare così il suo campo di azione malevolo.
Indice degli argomenti
I dettagli della nuova truffa bancaria
Le e-mail infette, in particolare, contengono due file allegati:
- INAIL_Comunica_XXX.ppd
- INAIL_Comunica_YYY.vbs
Il primo file, con estensione .ppd, è in realtà un XML contenente i dati di una falsa denuncia.
Terminate queste prime operazioni, lo script allegato all’e-mail infetta esegue anche un altro script JS che consente di trasformare il computer compromesso in uno zombie della botnet usata dai criminal hacker. Il client ha la possibilità di scaricare ed eseguire ulteriori file e di lanciare script PS su comando del server C&C (risalente al dominio sad.childrensliving.com).
L’analisi del codice dello script VBS svela una particolare caratteristica di questa nuova variante del malware Gootkit: dalla campagna di malspam risultano esclusi la Russia, l’Ucraina, la Bielorussia e la Cina. Forse si tratta di un indizio sulla nazionalità dei criminal hacker.
Da un campione del malware isolato dai ricercatori del CERT-PA si ha inoltre evidenza che il comando impartito al computer della vittima è quello di diffondere il malware tramite un server IMAP (presumibilmente compromesso e presumibilmente italiano a giudicare dai messaggi di errore gestiti) ad una serie di indirizzi e-mail forniti dallo stesso server C&C gestito dai criminal hacker. In seguito le e-mail vengono cancellate dal server.
I consigli per difendersi dal banking trojan Gootkit
Questa nuova campagna di malspam conferma che i messaggi di posta elettronica sono ancora uno dei vettori più utilizzati dai malware per diffondersi e infettare il maggior numero di utenti possibili, perché è il mezzo più economico ed efficace.
Il vantaggio, per gli utenti, è che con un minimo di attenzione e consapevolezza si possono ridurre drasticamente i rischi d’infezione.
Il consiglio per non rimanere vittima di questa nuova truffa bancaria della finta email INAIL (comunque valido in tutte le campagne malspam di topo phishing) è dunque quello di non aprire o decomprimere allegati di cui non si è certi della loro provenienza per bloccare la catena infettiva del malware.
Massima attenzione va posta anche nel caso in cui il mittente è noto, perché spesso i malware utilizzano le rubriche delle vittime per diffondersi ai loro contatti.
È utile anche installare e tenere costantemente aggiornato un antivirus dotato di funzionalità di analisi comportamentale e isolamento in sandbox che, per quanto non garantisce l’immunità, è comunque un buon supporto per identificare malware noti e meno noti.
Infine, soprattutto in ambito aziendale, è importante mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
