skip to Main Content

Ecco come funziona la cyber campagna malevola che sta colpendo l’Italia

Ecco Come Funziona La Cyber Campagna Malevola Che Sta Colpendo L’Italia

In Italia è ancora in corso una cyber campagna malevola via mail, finalizzata a infettare i pc con malware della famiglia del Trojan bancario Ursnif. il CERT-PA spiega come funziona

Come funziona la cyber campagna malevola che sta colpendo l’Italia nelle ultime settimane? Dal CERT della Pubblica Amministrazione (CERT-PA) arriva un approfondimento sui cyber attacchi veicolati via posta elettronica e finalizzati a diffondere allegati malevoli utilizzati come inizio della catena di infezione collegate alla famiglia del malware bancario Ursnif. “Nella maggior parte delle occasioni, le campagne di attacco hanno visto utilizzare documenti Office dotati di macro malevole e tecniche, tra cui il social engineering”, riporta il CERT-PA. Queste sono “finalizzate a convincere l’utente destinatario che il messaggio ricevuto potesse, almeno in prima battuta, ritenersi attendibile e quindi invitarlo a validare il contenuto protetto dei documenti per la corretta visualizzazione. Attraverso queste ondate di malspam si è notato in particolare l’uso di allegati MS Word dal nome ‘Richiesta.doc’ o del tipo ‘[Nome_Azienda]_Richiesta.doc’”.

Necurs è una delle principali botnet utilizzate per veicolare malspam e in particolare quella collegata al Trojan bancario Ursnif

Il CERT-PA ricorda che “Necurs è una delle principali botnet utilizzate per veicolare malspam, e in particolare quella di recente collegata proprio alla diffusione del malware bancario Ursnif” in Italia. “A partire dalla prima metà di giugno 2018, i ricercatori Trendmicro hanno osservato Necurs diffondere un modulo di spam basato su ambiente di sviluppo .NET in grado di inviare e-mail e sottrarre credenziali da Internet Explorer, Chrome e Firefox. Alcune parti di questo modulo di spamming – spiegano gli specialisti di sicurezza informatica – si sovrappongono a uno strumento di accesso remoto open-source. Il modulo di spam .NET quando approda su una macchina compromessa e quindi facente parte della botnet, fornisce gli argomenti per istruire i bot ad eseguire il binario”.

Gli esperti di sicurezza informatica: I cyber aggressori cambiano la tipologia di allegati per inoculare il malware e la vittima non è in grado di sapere se ha inviato spam dalla sua mail

“Le vittime non saranno in grado di notare lo spam inviato dai loro indirizzi e-mail”, avvisa il CERT-PA. Ciò “in quanto il modulo .NET può eliminare l’ultima e-mail inviata dall’account e-mail della vittima e catturare tutti gli avvisi. Mentre in passato Necurs inviava mail direttamente tramite i bot con conseguente facilità di bloccare gli indirizzi IP, la tendenza attuale vede le e-mail di spam inviate tramite client di posta legittimi con IP autorizzati. La soluzione di blocco IP quindi potrebbe non funzionare correttamente. Inoltre, quelle e-mail spam provengono da account di posta elettronica che i ricevitori già riconoscono. L’utilizzo di allegati malevoli, anche in relazione alle potenzialità delle botnet tra cui Necurs, rimane il metodo di infezione preferenziale. Anche in questo caso si nota la tendenza a variarne la tipologia. Uno degli ultimi casi, rilevato grazie alle attività di info-sharing con le altre strutture Nazionali, vede l’impiego di archivi zip contenenti uno i più file con estensioni sospette, non convenzionali in comunicazioni di questo tipo, capaci di scaricare ed eseguire codice remoto”.

Back To Top