Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Gen 22, 2018 Marco Schiaffino Attacchi, In evidenza, Minacce, Minacce, News, RSS, Trojan 1
L’allarme arriva da Yoroi, società di sicurezza italiana, che ha intercettato una serie di messaggi di posta elettronica contenenti un link infetto che sembrano provenire dal Ministero dell’Economia e delle Finanze.
L’email, in sé, non è un capolavoro di social engineering: nonostante il riferimento al Ministero e l’uso di un italiano corretto (un’eccezione rispetto a simili campagne avviate da pirati informatici stranieri) utilizza mittenti piuttosto sospetti come info@amber-kate.com e info@fallriverproductions.com, che dovrebbero mettere sul “chi va là” i destinatari.
A rendere particolarmente insidioso l’attacco, però, è il riferimento a un F24 (il modello per il pagamento delle imposte – ndr) e il fatto che la campagna di distribuzione coincida con un periodo di scadenze esattoriali che rendono la trappola più credibile. L’oggetto delle email varia, ma utilizza formule come “Codici Tributo Acconti F24” o “Acconti-Codice Tributo 4034”
“Rispetto ad altri attacchi che prendono di mira interi settori, questo è specificatamente localizzato nel nostro paese” spiega Marco Ramilli, fondatore di Yoroi. “Stando a quanto abbiamo potuto ricostruire, ha colpito decine di società italiane, compresi alcuni enti pubblici come il Ministero degli Interni e la Camera dei Deputati”.
Il messaggio di posta, come spiegato, contiene un link che punta a pagine Web pubblicate su vari domini Internet e che avvia il download di un JavaScript il cui codice è pesantemente offuscato. La sua funzione è quella di scaricare ed eseguire un file chiamato 1t.exe.
Si tratta di un malware che, secondo Ramilli, ha una certa somiglianza con GootKit. “Non abbiamo ancora analizzato a fondo il sample, ma sembra trattarsi di un classico trojan bancario, progettato per rubare le credenziali di accesso ai servizi di home banking”.
Secondo il ricercatore, però, il trojan in questione va un po’ oltre. “Dalle nostre analisi risulta che il malware rimanga in ascolto per ulteriori comandi dal server Command and Control” spiega Ramilli. Tradotto: a essere a rischio non sono solo le credenziali dei servizi bancari online, ma è possibile che il malware vada a rubare anche altre informazioni e crei una vera botnet sotto il controllo dei pirati informatici.
Yoroi ha intercettato i primi messaggi venerdì e ha completato l’analisi nel giro di 24 ore, inviando un alert a tutte le autorità competenti per contenere gli attacchi. Stando alle analisi, però, il malware avrebbe già fatto un discreto numero di vittime, di cui Ramilli ha pubblicato un elenco piuttosto impressionante.
Tra le aziende risultano anche Trenitalia; la società Autostrade; Banca Monte Dei Paschi Di Siena S.P.A.; Costacrociere; FINECO; Videotime; Telecom; Wind e FASTWEB. Tra gli enti pubblici il Ministero dell’Interno; la Camera dei Deputati; alcuni Comuni (Brescia, Bologna) e regioni (Basilicata, Toscana e Veneto).
Ma come ha fatto Yoroi a individuare le vittime? “Siamo riusciti a rintracciare i log di collegamento ai domini usati per diffondere il malware e, da qui, siamo risaliti alle possibili vittime attraverso gli indirizzi IP” spiega Ramilli.
L’uso del termine “possibili”, come ci ha spiegato nel corso dell’intervista il ricercatore, è una formula dettata più che altro dalla cautela. “Nei miei test ho verificato che i normali tentativi di collegamento ai siti usati per diffondere il malware non vanno a buon fine, mentre quelli fatti attraverso il dropper funzionano. Molto probabilmente sono filtrati in base all’agent che tenta il collegamento”.
Insomma: se nel log risulta che un collegamento ha avuto successo, è ragionevole presumere che sia avvenuto in seguito all’azione del JavaScript attivato dal link malevolo all’interno della mail.
Ramilli però invita a una certa cautela anche per quanto riguarda l’inclusione nell’elenco di alcune aziende che operano come Internet Provider, come Telecom e FASTWEB. “In questo caso è molto probabile che l’indirizzo IP si riferisca alla loro infrastruttura, ma a essere stati colpiti siano normali clienti che usano i loro servizi per la connettività”. Per essere chiari: l’ipotesi che dalle parti di Telecom abbiano migliaia di computer infetti è decisamente improbabile.
Il problema, però, è che nei giorni in cui è partito l’attacco (lo scorso week-end) il malware passava indenne il controllo della maggior parte degli antivirus. “Da una verifica su Virus Total, solo un antivirus considerava il file sospetto” conferma Ramilli.
Ora che Yoroi ha fornito le informazioni reperite nel corso di questi tre giorni, tutti i software di sicurezza stanno aggiornando le definizioni e il livello di protezione aumenterà sensibilmente.
Nel frattempo, però, se doveste ricevere un’email come quella descritta, la soluzione migliore è di cancellarla senza pensarci troppo.
Dic 20, 2023 0
Lug 18, 2022 0
Mag 03, 2022 0
Feb 08, 2022 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...
One thought on “Massiccio attacco in Italia. Attenti alle email del Ministero delle Finanze”