malware Fonte foto: Alexander Limbach - stock.adobe.com
SICUREZZA INFORMATICA

Torna il virus Ave Maria: perché è pericoloso e come difendersi

Il nome di questo virus non ha nulla a che fare con il suo comportamento: Ave Maria è un pericoloso malware "infostealer" in grado di sottrarre dati sensibili agli utenti.

Nell’ultima settimana i ricercatori di cybersecurity italiani hanno visto riapparire una loro vecchia conoscenza: il malware Ave Maria. Dietro questo nome curioso si nasconde un virus di tipo “infostealer“, parecchio pericoloso, che non si vedeva girare da diversi mesi. Un malware in grado di rubare molti dati sensibili dai dispositivi attaccati.

Secondo quanto riportato dalla società italiana di sicurezza elettronica D3Lab, che collabora con il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale (Cert-Agid) che fa capo alla Presidenza del Consiglio dei Ministri, è in atto una nuova campagna di phishing finalizzata a diffondere nuovamente questo virus in Italia a circa due anni dalla sua prima apparizione. I malware, purtroppo, non invecchiano mai e vengono costantemente aggiornati al fine di renderli più difficili da scovare e più efficaci nelle loro potenzialità. Anche con Ave Maria poitrebbe essere successo lo stesso e il fatto che stia di nuovo circolando non è una buona notizia.

Perché il virus si chiama Ave Maria

Prima di proseguire con l’analisi del malware Ave Maria e di spiegare perché è così pericoloso, ci tocca rispondere alla domanda che la maggior parte dei lettori si staranno già facendo: perché questo virus si chiama “Ave Maria“?

La risposta è semplice: “AVE_MARIA” è la stringa inviata dal malware dal dispositivo infetto al server di controllo per comunicare il fatto di essere riuscito ad entrare nel device e che può inviare ulteriori istruzioni, comandi e altri codici pericolosi da eseguire.

Una procedura di comunicazione comune a tutti i malware moderni, che per non farsi scoprire iniziano l’infezione con un codice ridotto all’osso per poi contattare il proprio server “C2” (Command and Control) per farsi inviare il resto del materiale infetto. Di solito il messaggio è “HELLO“, in questo caso è “AVE_MARIA“.

Perché il virus Ave Maria è pericoloso

Il virus Ave Maria è diventato abbastanza noto in Italia a cavallo tra fine 2018 e inizio 2019, quando una azienda italiana del settore petrolifero (della quale non è mai stato rivelato il nome) fu colpita da questo “infostealer” entrato nei suoi sistemi informatici tramite una classica email di phishing: qualcuno dei dipendenti abboccò e l’infezione ebbe inizio.

La cosa pericolosa di Ave Maria è che è in grado di decifrare la crittografia usata dai browser per proteggere le credenziali di accesso a siti e account inserite dagli utenti durante la navigazione quotidiana. Di conseguenza questo virus è in grado di rubare una infinità di dati sensibili degli utenti, arrivando anche a prendere il possesso dei suoi account online.

Come difendersi da Ave Maria

Non è ancora chiaro se il virus Ave Maria che sta nuovamente circolando in Italia sia sempre lo stesso, già noto agli antivirus, o sia stato modificato al fine di renderlo invisibile ai software di cybersicurezza normalmente usati dall’utente comune del Web.

E’ sicuro, invece, che Ave Maria viene ancora veicolato tramite una email di phishing abbastanza elaborata e credibile. L’infezione alla società Oil&Gas dell’anno scorso, ad esempio, partì da una finta email che sembrava arrivare dall’ufficio vendite di uno dei fornitori dell’azienda e conteneva un file Excel infetto.

La prima regola per difendersi da Ave Maria, quindi, è quella di difendersi dal phishing in sé e per sé: bisogna stare molto attenti a tutte le email ricevute, controllare bene il mittente e stare molto attenti agli allegati. La seconda regola è quella di usare un antivirus aggiornato che, in linea di massima, dovrebbe essere in grado di intercettare l’eventuale tentativo di infezione da parte del malware Ave Maria.

© Italiaonline S.p.A. 2021Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963