skip to Main Content

Natale, continuano le truffe del cybercrime in Italia con l’esca dei corrieri

Natale, Continuano Le Truffe Del Cybercrime In Italia Con L’esca Dei Corrieri

Il CERT-PA: Grazie al CERT di D3Lab è stata scovata una nuova campagna malspam in Italia che usa i corrieri come esca. Primo è stata sfruttato DHL e ora SDA/Poste Italiane

Il cybercrime, sfruttando l’arrivo del Natale e il boom di ordini online, continua ad attaccare l’Italia con il phishing per rubare informazioni alle vittime tramite false fatture dei corrieri. Gli esperti di cyber security del CERT-PA, ricordando che pochi giorni fa l’esca era lo spedizioniere DHL, avvertono che ora questa è diventata SDA/Poste Italiane. Lo ha scoperto il CERT di D3Lab. La campagna malspam usa come indirizzo “sda@sda-express[.]xyz” il cui dominio sda-express[.]xyz risulta essere stato registrato il 10/12/2019 e localizzato negli Stati Uniti. Al testo è allegato un documento.doc, contenente una macro malevola. Inoltre, tutte le mail risultano avere corretto il valore del record SPF per poter ottenere una valutazione migliore e superare l’eventuale filtro AntiSpam. Le informazioni sensibili contenute nella macro sono state offuscate in base64, la rapida decodifica consente facilmente di individuare le operazioni eseguite dal codice.

Gli esperti di cyber security: L’obiettivo del cybercrime è rubare dati alle vittime per pianificare futuri attacchi mirati con malware

Peraltro, gli esperti di cyber security fanno notare che a differenza delle recenti campagne mirate verso utenti italiani, questa volta la macro non presenta alcun controllo sul Paese in cui è localizzata la macchina vittima. Una volta aperto il documento e abilitata la macro vengono raccolte, tramite query wmi, diverse informazioni sul sistema in cui è in esecuzione: computer_name, user_name, domain, domain_role, workgroup, manufacturer, model, system_type, os_name, os_version, AntiVirusProduct eProcessi in esecuzione. Nessuna compromissione successiva, punti di persistenza o inoltro di credenziali sono stati osservati a seguito dell’analisi del documento. Sembra piuttosto chiaro che l’attività del cybercrime sia orientata a raccogliere informazioni sulle macchine-vittima, al fine di effettuare una scrematura e selezionare i target a cui inviare successivamente il malware mediante campagne mirate.

Riconoscere che la mail di SDA è falsa è semplice: basta leggere attentamente il testo. E’ pieno di errori di sintassi e grammatica, segno che è stato compilato con un traduttore automatico

La campagna malspam del cybercrime è molto pericolosa. Il logo della mail è corretto, allo stesso modo della partita iva di SDA/Poste Italliane. Il testo, però, della nasconde indizi precisi sul fatto che sia falsa. Ciò, nonostante riesca a superare i controlli tradizionali di cyber security. In particolare si notano numerosi errori di sintassi e grammatica, segno che questo sia stato compilato usando un traduttore automatico (probabilmente dall’inglese). Per riconoscere la frode cibernetica, perciò, è sufficiente leggere con attenzione il contenuto della email. 

Il testo della falsa mail di SDA

Back To Top