L’allarme, subito ripreso anche da CERT-PA, è stato lanciato dai ricercatori Yoroi: in Italia è in corso una nuova campagna di attacco di tipo trojan che prende di mira le aziende italiane mediante una massiccia ondata di e-mail fraudolente.
In particolare, secondo i ricercatori di sicurezza, gli attacchi vengono veicolati da un noto gruppo di cyber criminali specializzato proprio nella preparazione di comunicazioni e-mail fraudolente. Mediante sofisticate tecniche di social engineering, i messaggi tentano di superare i sistemi di protezione delle aziende e ingannare gli utenti spingendoli ad aprire documenti e link remoti. Le e-mail malevoli hanno contenuti di testo differenti ma sono tutte accomunate dalla presenza di collegamenti per il download di ipotetici documenti. Gli allegati, di solito file “link”, puntano a risorse esterne rappresentate da una serie di domini malevoli utilizzati per servire un archivio contenente uno script .js offuscato.
Nel momento in cui lo script viene eseguito, la catena d’infezione prevede lo scaricamento di una variante del trojan Gootkit, già conosciuto per altre campagne di attacco avvenute in passato. Anche le tecniche utilizzate nella campagna odierna hanno somiglianze con altre simili osservate in queste ultime settimane, come quella portata avanti mediante il malware della famiglia Zeus/Panda che diffondeva fatture false via e-mail e di cui abbiamo già parlato su CyberSecurity360. In base alle evidenze raccolte in queste ultime settimane, gli attaccanti stanno tentando di infettare molteplici aziende private italiane ed enti pubblici.
Indice degli argomenti
I consigli giusti per difendersi
A ben vedere, dunque, non siamo di fronte ad una nuova e pericolosa tipologia di minaccia. “La tecnica utilizzata è anzi abbastanza comune e per niente sofisticata, con un minimo utilizzo di social engineering e un po’ di tecnica di attacco dovuta alla presenza del trojan” ci dice Alessio Pennasilico, responsabile scientifico di Cybersecurity360 e analista P4i.
“Semmai – continua Pennasilico, bisogna chiedersi come mai CERT-PA abbia pubblicato un avviso su un attacco simile. La vera problematica di questo attacco e tutta la sua gravità stanno nelle sue dimensioni e nell’elevato numero di potenziali vittime raggiungibili. Come sempre, il punto debole nella catena della cyber security aziendale che i pirati riescono a sfruttare al meglio per raggiungere i loro scopi è nella superficialità degli utenti che a volte aprono con troppa facilità gli allegati di e-mail di cui magari neanche conoscono il mittente. Questo dimostra ancora una volta, qualora ce ne fosse bisogno, la necessità di avere in azienda (e il discorso vale in particolar modo nelle pubbliche amministrazioni) un esperto di riferimento a cui chiedere consigli e formazione continua per garantire sempre il massimo livello di sicurezza informatica possibile”.
In merito a questo nuovo attacco abbiamo sentito anche Marco Ramilli, CEO di Yoroi: “Nel nostro Annual Security Report avevamo evidenziato come il percorso principale di propagazione delle minacce durante tutto il 2017 siano state le e-mail (89%) con un netto vantaggio sul Download diretto che ricopre un semplice 11% sul totale delle osservazioni. Anche in questo caso la minaccia viaggia per e-mail. Non mi stancherò mai di ripeterlo, non dobbiamo mai fidarci delle richieste o delle conferme di pagamento che arrivano via e-mail, dobbiamo fermarci un attimo e controllare l’indirizzo del mittente, l’indirizzo sorgente e che il testo della mail sia scritto in italiano corretto”.
“In questo caso – continua ancora Ramilli, gli attaccanti stanno sfruttando un misto tra appuntamenti stagionali che ci coinvolgono più o meno tutti, come tasse o fatturazioni e anche temi molto sentiti che toccano nel vivo molte persone, come la ricerca di lavoro. Proprio per questo motivo, oltre a porre la massima attenzione sulle e-mail che riceviamo è indispensabile dotarsi di uno strumento capace di monitorare e individuare le minacce. Gli attaccanti, infatti, non sfruttano più solo l’ingenuità delle persone, ma la nostra curiosità e c’è poco da fare, la curiosità è troppo forte per non cascarci, anche se sappiamo benissimo che non si dovrebbero trattare le e-mail con leggerezza”.
“Oltre a questo – è la conclusione di Ramilli, vorrei sottolineare che le minacce stanno diventando sempre più complesse. Stiamo osservando infatti un’evoluzione nel concetto stesso di malware, che non è più un singolo file o un link che cliccato va ad infettare una macchina, ma si è evoluto in una sorta di ‘Impianto’, come in una fabbrica, che mette insieme un file o un link che preso di per sé non fa nulla ma associato a vari strumenti (che in gergo definiamo droppers, Command & Control, stagers e anonimizers) se presi nel contesto, tutti insieme, forniscono una rete di comunicazione di dati che infettano la macchina in un modo molto più complesso. Un trend che rende ancora più stringente la necessità di dotarsi di strumenti adeguati di detection. Infine, oltre alla complessità, anche la frequenza è aumentata esponenzialmente in questo ultimo periodo. Questo non è dovuto solo all’aumento delle minacce in sé, ma alla relativa facilità con cui è possibile reperire strumenti che consentono di confezionare minacce complesse, anche senza competenze tecniche specifiche”.
Ecco come riconoscere il malware trojan
Per fortuna, nel caso dell’attacco in esame, riconoscere le e-mail malevoli è abbastanza semplice grazie agli indicatori di compromissione individuati a seguito delle analisi condotte dai ricercatori Yoroi e che ci permettono di individuare a colpo d’occhio l’eventuale pericolo. Ecco i principali.
Oggetto
- “Il Documento N. 59129 Dal 22/06/18”
- “CV”
- “Il Documento N. 59129 Dal 22/06/18”
- “Materiale Richiesto del 02/06/2018”
- “Dichiarazione Del 06/05/2018”
Dropurl (zip)
- http:// www. disillusionedlife[.com/uedn?durg=36607
- http:// www. fivestoreyprojects[.com/hjcf?fslt=37878
- http:// www. blind-pig[.com/evry?tqbh=36759
- http:// www. jeffjourdain[.com/mqje?ggzo=34853
- http:// www. rebelknife[.com/bslj?yuvc=12534
- http:// www. skandaoilmill[.com/zabal?axkz=18976
- http:// www. skandaoilmill[.com/dfea?huvij=20014
Dropurl (exe)
- /pagenewex12.php
- agamelike].com
- albertomerello].com
- automaticmarijuana].com
- autorepairserviceslist].com
- bankbola].com
- bioelectricmedia].com
- blahhouse].com
- bonodigital].com
- demonica666].com
- designforecast].com
- detroittechtown].com
- fivestoreyprojects].com
- ganse].com
- gauravgautam].com
- hermeslogisticsint].com
- householdhaircuts].com
- idoodi].com
- ihackradio].com
- ingadgetshop].com
- lab1504].com
- lemonpulse].com
- letsdocambodia].com
- letsdoegypt].com
- maxibuys].com
- mdquencydesigns].com
- meyerstation].com
- mymindisgoing].com
- nonpartisancoalition].com
- northbeachgallerywa].com
- originally-organic].com
- petesdeals].com
- postpunks].com
- queenflare].com
- rebelknife].com
- rebelmavenmastermind].com
- reportbuys].com
- restedtraveler].com
- sayaair].com
- siliconplanetbook].com
- skandaoilmill].com
- spiderblades].com
- theweightlossactivityplan].com
- uberalawyer].com
- usmletomatch].com
- winusapowerball].com
- xyful].com
- yourrxprivates].com
Anche i ricercatori di Yoroi consigliano quindi di mantenere alto il livello di guardia all’interno delle aziende, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. L’altro consiglio, infine, è quello di mantenere elevato il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
