L’allegato doc del messaggio “Re: FW: Proforma Demurrage PC Profert SPA” contiene un file exe: il malware.
Il cybercrime attacca aziende e PA in Italia con malware in file “.lnk”
Il CERT-PA: Nuova campagna malware colpisce le aziende e la Pubblica Amministrazione in Italia. Il cybercrime con false mail di fatture non pagate cerca di far aprire un file con estensione “.lnk”
Nuova campagna per la diffusione di malware in Italia contro le aziende e la Pubblica Amministrazione. Lo hanno rilevato gli esperti di cyber security del CERT-PA. Il vettore dell’aggressione cibernetica è un messaggio email con riferimenti a fatture non pagate. Questo contengono nel corpo del testo un link per scaricare un file con estensione “.lnk”. Questo è usato tradizionalmente come shortcut o come link in ambito Windows e nel caso degli attacchi informatici ha il compito di scaricare il payload del codice malevolo. Cliccando sul collegamento, infatti, viene scaricato un file in formato “.zip” che una volta decompresso contiene al suo interno quello con estensione “.lnk”, il quale avvia la catena d’infezione eseguendo uno “script Powershell”. Peraltro, per rendere l’attachment più credibile, alcuni file “.zip” contengono al loro interno anche delle immagini innocue.
Non ci sono conferme sul malware usato, ma potrebbe essere un trojan bancario delle famiglie Ursnif/Gozi o Gootkit
Prestate massima attenzione, perciò. Anche perché, come comunica il CERT-PA, l’attuale rilevamento dei file .lnk da parte degli antivirus (AV) è esiguo. Virus Total evidenzia una media di rilevazione pari a circa 10/57 prodotti AV. Non è chiaro, invece, al momento che tipo di malware il cybercrime cerchi di diffondere in Italia. A proposito, sono in corso analisi dettagliate per capire di cosi si tratti. Ciò che appare probabile, anche se non esistono per ora conferme, è che il codice malevolo possa appartenere alle famiglie dei Trojan bancari Ursnif/Gozi oppure Gootkit. Almeno da giugno è in corso un’offensiva informatica contro utente, aziende e amministrazioni nel nostro paese, che sembra sia opera di un unico gruppo del cybercrime e avrebbe caratteristiche persistenti. Questo cambierebbe periodicamente esche per violare la cyber security delle vittime, usando comunque gli stessi malware/trojan.
Articoli correlati
