malware Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Virus in mail fraudolente: come difendersi

Ondata di malspam in Italia: attenzione a fatture allegate alle mail da indirizzi sconosciuti

7 Dicembre 2018 - Nell’ultimo periodo si stanno verificando in Italia due tipologie di attacchi hacker, da parte di cyber criminali. Ve ne abbiamo parlato in questo articolo ripreso anche da Federprivacy, la principale associazione italiana dei professionisti della tutela dei dati.

Gli attacchi, aventi oggetto la diffusione dei virus noti come SLoad-ITA e Danabot, si nascondono sotto forma di una classica mail fraudolenta che ci invita ad aprire link o documenti allegati quali ad esempio una fattura elettronica.

Al momento, quindi, la miglior misura di precauzione è sempre la più “classica” ed affidata alla prudenza dell’utente: non aprire e cestinare immediatamente qualsiasi mail che ci inviti a scaricare tali documenti soprattutto da un mittente o da indirizzi  sconosciuti. È infatti sempre utile analizzare con attenzione,  prima di avventurarsi in link o download, anche mail provenienti da mittenti noti: potrebbero essere stati a loro volta infettati o potrebbe trattarsi di fake.

Cos’è il virus SLoad-ITA

SLoad-ITA, come indica anche il nome, altro non è che la versione in italiano di un attacco hacker avvenuto nel Regno Unito nel mese di maggio 2018. Si tratta di un attacco malspam, nel quale il malware che infetta il computer è inviato attraverso una massiccia campagna di spamming che punta a colpire il maggior numero di utenti. Per riuscirci, i cyber criminali hanno messo in atto anche tecniche di ingegneria sociale, così da attestarsi come interlocutori autorevoli e convincere gli utenti a fare esattamente ciò che vogliono loro.

Per ingannare gli utenti, il gruppo di hacker alle spalle dell’attacco SLoad-ITA invia un messaggio di posta elettronica nel quale viene annunciata una fattura insoluta (in allegato) risalente a luglio 2018. Scaricando l’allegato, però, ci si accorge che si tratta di un file ZIP (ossia una cartella compressa) e non un file PDF o DOC come ci si potrebbe aspettare. Aprendo il file compresso ci si trova di fronte a due file: un’immagine e un file con estensione LNK. Tentando di aprire quest’ultimo file non si fa altro che avviare il malware, un trojan RAT (acronimo di Remote Access Trojan, Trojan ad accesso remoto in italiano) che concede l’accesso ai dati presenti sul nostro hard disk agli hacker e permette di scaricare altri malware senza che l’utente si accorga di nulla.

Nello specifico, SLoad-ITA sarebbe in grado di effettuare degli screenshot periodici mentre utilizziamo il computer e inviarli all’hacker in maniera automatica. In questo modo il criminale informatico sarà sempre quello che stiamo facendo.

Cos’è il virus Danabot

La seconda minaccia, la cui diffusione in Italia è iniziata negli ultimi giorni di novembre 2018, è un trojan bancario già conosciuto dagli esperti di sicurezza di tutto il mondo. Come specificato da ESET, tra le maggiori aziende di sicurezza informatica, Danabot è un malware modulare e multilivello, che può essere modificato e personalizzato dagli hacker con dei plugin così da adattarlo alle varie realtà nazionali in cui può essere utilizzato.

Anche in questo caso la diffusione è avvenuta tramite una campagna di email spam molto simile a quella utilizzata per diffondere SLoad-ITA, fatto che porta a pensare che dietro i due attacchi si possa nascondere lo stesso gruppo. Su questo punto, però, non c’è alcuna certezza. La diffusione di Danabot avviene tramite un file compresso con estensione RAR, al cui interno sono presenti alcuni file infetti che si auto-installano nella memoria del computer colpito.

Come accennato, lo scopo originario di Danabot era quello di recuperare e sottrarre informazioni di carattere bancario agli utenti attaccati (credenziali di accesso all’home banking, numeri di carta di credito e così via) ma, in seguito alle modifiche subite nelle ultime settimane, il malware ha visto crescere a dismisura le sue possibilità offesive. Ora Danabot può dare la possibilità agli hacker di controllare da remoto i computer infetti (per effetto del plugin chiamato VNC); analizzare i pacchetti del traffico dati e recuperare informazioni di vario genere sulle abitudini dell’utente (plugin Sniffer); rubare password da browser, client di posta elettronica e altri software installati sul PC (plugin Stealer).

Contenuti sponsorizzati