G DATA mette a nudo ZeuS Panda


Gli analisti G DATA hanno curiosato nella struttura di questo ospite fisso tra i trojan che mirano al mondo bancario. Ora disponibile l’analisi completa di un malware particolarmente articolato.

Bochum – Il banking trojan ZeuS e la sua variante chiamata “Panda” hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.

Come sapere se i sistemi sono infetti

Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla “polizia finanziaria tedesca” (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l’utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all’interno del browser, che altrimenti potrebbero rivelarne la presenza.

Ed ora la buona notizia: esistono tecnologie in grado di rilevare un’infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.

Perchè Panda è speciale

Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali – tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l’analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.

Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l’implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l’URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.

Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.

Un “coltellino svizzero” fabbricato nell’Europa orientale

Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  – le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.

Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell’aggressore.

In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

Analisi dettagliata

Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).

Continua a leggere

Petya redivivo – di nuovo


Di Petya G DATA ha già parlato nel 2016. Il ransomware si ripresenta occasionalmente con nuove vesti, l’ultima volta come “GoldenEye”. Questa nuova ondata di infezioni presenta una sola differenza: è la prima volta che Petya sfrutta un exploit proveniente dall’arsenale di un’agenzia di intelligence, portato tristemente alla ribalta con WannaCry.

Bochum – Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall’attacco e dai media, l’ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l’aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell’infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.

Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l’unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l’attuale campagna. G DATA sconsiglia fortemente di pagare qualsiasi riscatto! Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati.  Tra l’altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l’attacco su larga scala, il provider tedesco ha bloccato l’accesso alla casella e ha informato l’Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.

Dettagli tecnici

Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l’origine dell’ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun “killswitch”.

All’attuale stato delle cose, la componente che dà luogo alla diffusione dell’ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.

Il ransomware prende di mira file con le seguenti estensioni:

.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk

.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt

.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.

xlsx .xvd .zip

Un’infinità di nomi per il Petya redivivo

G DATA ha riscontrato una generalizzata confusione nell’assegnare un nome all’attuale variante del ransomware “Petya”. La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome “Petya”. Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.

Clienti G DATA protetti

La variante corrente è rilevata da tutte le soluzioni G DATA come Win32.Trojan-Ransom.Petya.V e Trojan.Ransom.GoldenEye.B. Altri moduli proattivi quali l’ExploitProtection e la protezione comportamentale AntiRansomware offrono un ulteriore livello di protezione.

Countromisure e mitigazione

Ci sono diverse misure efficaci per prevenire infezioni o quanto meno mitigare i rischi:

  • Installare l’ultimo aggiornamento di Windows se possibile. Questo aggiornamento (disponibile dal mese di marzo – come già indicato nel caso di WannaCry) chiude le falle di cui si avvale l’exploit Eternalblue.
  • Per prevenire infezioni attraverso l’interfaccia di gestione di Windows (WMI), gli amministratori di sistema dovrebbero prendere alcune precauzioni, come raccomandato da Microsoft
  • L’esecuzione di un codice da remoto attraveso PSExec o WMI richiede privilegi di amministratore: si sconsiglia di garantire tali privilegi ai normali utenti.
  • Se si nota un’infezione prima che appaia la richiesta di riscatto, spegnere immediatamente il sistema. Non riavviare la macchina in nessun caso – c’è la possibilità che non tutto sia stato cifrato prima dello spegnimento forzato.

Di nuovo: raccomandiamo di non effettuare alcun pagamento di riscatto, soprattutto visto che il provider ha chiuso la casella di posta elettronica dei criminali.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://www.gdatasoftware.com/blog/2017/06/29840-petya-is-back-again

Continua a leggere

Sarà un lunedì nero? Considerazioni sul ransomware “WannaCry”


Dopo solo tre ore dall’inizio della diffusione di massa “WannaCry” ha mietuto numerosissime vittime in 11 Paesi. Gli effetti sono stati tali da spingere le organizzazioni colpite a richiedere l’immediato spegnimento di tutti i computer. G DATA raccomanda fortemente di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

Un fulmine a ciel sereno

Nelle prime ore del mattino (CET) di venerdì 12 maggio in tutto il mondo si è rilevata un’ondata considerevole di infezioni ad opera dell’ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l’origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l’obiettivo di distribuire il ransomware attraverso i più svariati canali.

Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L’exploit è chiamato ETERNALBLUE ed è parte dei file diffusi pubblicamente lo scorso mese.

In Spagna, presso l’operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.

(Immagine: Martin Wiesner via Twitter, stazione di Neustadt)

 

Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.

Infezione rallentata, l’eroe accidentale di WannaCry

Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un’infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.

Contromisure

La falla di sicurezza che ha aperto la strada all’infezione e che trova riscontro anche nel CVE è stata identificata come “critica” e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell’ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003, microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.

A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto. E’ inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.

I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

Continua a leggere

Un nuovo malware ogni 4,2 secondi: G DATA presenta il primo trimestre 2017


“Non credere ad alcuna statistica che non abbia falsificato tu stesso”, usava dire Winston Churchill. Gli esperti di sicurezza di G DATA condividono quanto rilevato nel primo trimestre 2017 rapportandone i risultati ai trend registrati nel 2016.

Nel 2016 l’azienda ha rilevato 6.834.443 nuovi ceppi di malware per workstation, pari ad un incremento del 32,9% rispetto al 2015. Un trend che non accenna a rallentare neanche nel 2017: nel solo primo trimestre G DATA ha registrato 1.852.945 nuovi tipi di applicazioni malevole. Ciò corrisponde ad un nuovo campione di malware ogni 4,2 secondi, un valore che supera del 72,6% le rilevazioni degli analisti G DATA nello stesso periodo del 2016. Gli esperti di sicurezza G DATA pronosticano un nuovo record negativo di 7,41 milioni di nuovi malware entro la fine dell’anno.

 

Il malware in categorie

La quota predominante dei programmi malevoli consta di cavalli di troia prodotti tipicamente allo scopo di scaricare ulteriore malware, rilevare i caratteri digitati sulla tastiera, trafugare password, integrare la macchina infetta in botnet per la conduzione di attacchi DDoS. Al secondo posto in classifica figura l’adware, che lo scorso anno cubava per il 4,9% delle rilevazioni totali ma già nel primo trimestre 2017 è responsabile del 13,9% del malware registrato.

Anche il ransomware è aumentato notevolmente. Tra il primo ed il secondo semestre 2016 si è quasi decuplicato e nel solo primo trimestre 2017 ha mancato di poco i valori registrati nell’intera seconda metà dello scorso anno. Ma attenzione: „il ransomware ha cagionato danni ingenti destando un notevole interesse su scala globale, ma la quota di questo tipo di malware rispetto al totale non è quasi misurabile”, specifica Ralf Benzmüller, Direttore dei G DATA SecurityLabs, che aggiunge “l’adware invece è una delle categorie di malware più produttive, ma non viene quasi percepito dagli utenti”.

Obiettivi del malware: Windows, script e makro

Come d’abitudine, la parte preponderante dei malware per workstation mira a piattaforme Windows, obiettivo del 99,1% delle applicazioni malevole rilevate. Seguono, sebbene a lunga distanza, script, java applets e macro.

Continua a leggere

G DATA Generation 2017: zero chance per i malware che estorcono denaro


Le nuove suite dello specialista della sicurezza per i consumatori integrano un modulo anti-ransomware e fino a 5 GB di spazio di archiviazione nel cloud su server tedeschi.

Gli esperti di sicurezza G DATA non vedono alcun rallentamento nella proliferazione di malware che estorcono denaro. Se il 2016 è stato l’anno dei ransomware, molto probabilmente lo sarà anche il 2017: l’uso di trojan che lanciano processi di crittazione dei sistemi e/o dei file come CryptoLocker, Locky, Petya e simili per poi richiedere un riscatto è diventato un vero e proprio modello di business particolarmente redditizio per i criminali informatici. Secondo gli inquirenti sono milioni gli utenti colpiti su scala globale. Con il nuovo modulo anti-ransomware G DATA pone freno a questo tipo di trojan rilevando l’attuazione di processi di cifratura in tempo reale senza l’impiego di signature. Con la “Generation 2017” G DATA è andata oltre la mera prevenzione e tutela offrendo insieme alle sue soluzioni premium fino a 5GB di spazio di archiviazione su server cloud localizzati in Germania affinchè gli utenti possano effettuare backup automatici dei propri dati personali. G DATA Antivirus 2017, Internet Security 2017 e Total Security 2017 saranno disponibili in Italia a partire dal primo aprile 2017.

Protezione proattiva contro I malware che estorcono denaro

Con la tecnologia G DATA Anti-Ransomware, il produttore tedesco ha sviluppato un metodo completamente nuovo per difendere efficacemente i computer contro i trojan che estorcono denaro. Grazie alla rilevazione proattiva, anche i malware non noti che cifrano i dati vengono individuati immediatamente e arginati in base al rispettivo comportamento. Il modulo è integrato in tutte le soluzioni per consumatori della generazione 2017.

Aggiornamento gratuito per i clienti G DATA

I clienti G DATA che dispongono di una licenza valida potranno fruire delle suite di sicurezza 2017 gratuitamente tramite l’aggiornamento della suite di cui dispongono o scaricare la nuova versione della soluzione di sicurezza in uso dal sito G DATA.

G DATA Security Generation 2017: Le funzionalità chiave

  • NUOVO: Tecnologia G DATA Anti-Ransomware per proteggersi contro trojan che estorcono denaro e cybercriminali
  • NUOVO: il Password Manager (presente in G DATA Total Security) genera e gestisce le credenziali di accesso a qualunque servizio in modo sicuro grazie alla cifratura AES a 256-bit
  • Ultima release della tecnologia G DATA CloseGap per un perfetto rilevamento antivirus
  • Protezione antiphishing tramite monitoraggio della posta elettronica
  • Tecnologia BankGuard per proteggere le transazioni bancarie o lo shopping online
  • Firewall intelligente per bloccare eventuali attacchi da parte di hacker (G DATA Internet Security e G DATA Total Security)
  • Filtro antispam contro mail pubblicitarie indesiderate (G DATA Internet Security and G DATA Total Security)
  • Protezione anti exploit per mitigare le vulnerabilità delle applicazioni
  • Scansione automatica di chiavette USB e di dischi esterni
  • Controllo parentale sulla navigazione per un uso del PC adeguato all’età dell’internauta (G DATA Internet Security e G DATA Total Security)
  • Blocco di dispositivi non autorizzati tramite controllo degli accessi (G DATA Total Security)
  • Monitor comportamentale per la rilevazione di minacce day-zero
  • Protezione delle attività su Facebook
  • Aggiornamento delle signature su base oraria per ridurre al minimo le possibilità di infezione da nuove minacce
  • Assistenza tecnica 24/7 per domande o per la risoluzione di eventuali problemi

Requisiti di sistema

PC con Windows 10/8.x/7 e almeno 2 GB RAM (32 e 64 bit)

Continua a leggere

Stiftung Warentest: G DATA Internet Security è il miglior antivirus


logo-claim-2015-3c-highresG DATA ottiene per la decima volta consecutiva giudizi eccellenti per la rilevazione dei virus.

“Nessun’altra suite di sicurezza protegge i consumatori in modo tanto meticoloso contro il malware digitale come G DATA Internet Security 2017” – questo il risultato del recente test comparativo condotto dalla tedesca Stiftung Warentest e pubblicato sulla rivista “test” (03/2017). La soluzione di sicurezza del produttore teutonico ha sorpreso la giuria con una protezione antivirus eccellente in ogni test comparativo condotto dal 2005 in poi. G DATA Internet Security 2017 è l’unica suite di sicurezza ad aver ottenuto il massimo punteggio per la scansione antivirus.

Nell’ultimo test comparativo ben 18 soluzioni di sicurezza per PC windows hanno dovuto dimostrare le proprie capacità in termini di difesa antivirus. La conclusione dei responsabili del test: “solo G DATA ha eseguito una scansione eccellente”. A impressionare non è stata solo la tecnologia antivirus. Stiftung Warentest ha anche sottolineato l’esemplare servizio al cliente offerto dall’azienda: “G DATA è l’unico produttore con termini e condizioni d’uso e linee guida per la protezione dei dati prive di difetti.”

gdris17-en-int-3pc-km16-0000000000000-rgb-002

“Il perno della nostra attività è fornire agli utenti le migliori tecnologie di difesa per la protezione dei propri dati personali” conferma Andreas Lüning, membro del board e fondatore di G DATA Software AG. “Il recente test comparativo di Stiftung Warentest ne è la riprova: siamo onorati che la suite G DATA Internet Security sia stata riconosciuta come il miglior scanner antivirus per il decimo anno consecutivo.”

Dettagli sulle procedure del test

  • Soluzioni di sicurezza testate: 18 suite, tra cui G DATA Internet Security 2017 – Valutazione complessiva: buono (2.2)
  • Condotto da Stiftung Warentest – http://www.test.de e pubblicato sulla rivista “test”, edizione 03/2017

Protezione senza soluzione di continuità: G DATA Internet Security 2017

G DATA Internet Security fornisce una protezione affidabile per PC e dati personali grazie a solide tecnologie anti ransomware, keylogger, exploit e trojan, oltre ad un potente firewall. Gli utenti di Internet sono protetti contro ogni pericolo, che essi siano conducano transazioni bancarie e acquisti online,  o stiano semplicemente navigando.

Caratteristiche principali di G DATA Internet Security 2017(*)

  • Tecnologia G DATA anti-ransomware per la protezione contro trojan e cybercriminali che estorcono denaro
  • BankGuard per l’online banking e lo shopping sicuro
  • Firewall intelligente per bloccare gli attacchi degli hacker
  • Filtro antispam contro messaggi e pubblicità indesiderata
  • Protezione phishing con monitoraggio delle email
  • Exploit protection per contrastare falle di sicurezza nel software
  • Controllo parentale per l’utilizzo appropriato del PC in base all’età dell’utente
  • Assistenza tecnica 24/7/365

(*) La suite G DATA Internet Security 2017 sarà disponibile in Italia a partire da aprile 2017

Continua a leggere

Il caso dell’attacco phishing travestito da foglio Excel condiviso su piattaforma Windows Live


Logo-Claim-2015-3c-highresI cybercriminali le tentano proprio tutte: gli attacchi mirati agli utenti aziendali non sono una novità, ma a volte gli espedienti utilizzati per accedere ai nostri dati sorprendono.

I tentativi di attacco veicolati tramite mail erano già noti ancora prima dell’ondata di Ransomware. Quotidianamente vengono inviati in europa centinaia di milioni di messaggi spam, tra cui non figurano esclusivamente attacchi di massa ma anche attacchi mirati. Nel presente caso, analizzato dai G DATA Security Lab, abbiamo a che fare con un espediente ai danni delle aziende, il cui procedimento risulta “innovativo”. I destinatari della mail si accorgono solo facendo estrema attenzione, che si tratta di un tentativo di truffa. Le soluzioni G DATA riconoscono l’allegato come Script.Trojan-Stealer.Phish.AG. Tutti i dettagli di questo particolare caso sono consultabili sul blog dei G DATA Security Labs al link https://blog.gdatasoftware.com/2016/03/28211-order-turns-out-to-be-phishing-attack-in-excel-look

La mail che raggiunge la casella di posta elettronica delle potenziali vittime reca un allegato chiamato purchase-order.htm. A ben guardare, il messaggio contiene elementi che destano sospetti. L’azienda emittente non esiste sotto questo nome, l’indirizzo gmail del mittente può risultare poco serio e il testo della mail contiene refusi, che possono essere scusabili, considerando che il potenziale cliente pare non essere geograficamente collocato in Paesi anglofoni.

csm_excel_phish_document_anonym_6abcd9a205L’allegato é travestito da documento prodotto con Microsoft Excel e condiviso online. Il file si presenta in effetti come una tabella, ma in realtà è solo un’immagine (order.png) non un documento lavorabile. Con tecniche di social engineering i criminali puntano alla curiosità dell’utente, segnalando ad esempio in rosso che le informazioni contenute nel file siano riservate. L’immagine viene caricata da un server situato ad Hong Kong. Per poter scaricare il documento, il destinatario deve inserire le proprie credenziali di accesso ai servizi della piattaforma live.com di Microsoft. In effetti però, la maschera per l’inserimento di tali dati non ha il formato giusto. Evidentemente i cybercriminali partono dal presupposto che gli utenti dei servizi online legati al pacchetto Office siano facilmente raggirabili. Peraltro, il diretto riferimento visivo, ma non esplicitamente citato, a tale piattaforma, suggerisce che i dati di accesso ai servizi Windows Live siano l’obiettivo di questa campagna. In effetti sono di valore, poiché ottenendoli, i cybercriminali si assicurano accesso illecito ad una serie di servizi, tra cui archivi di documenti online, posta elettronica per trafugare informazioni e inviare ulteriori messaggi di spam e molto altro.

Tutti dati ottimamente sfruttabili, specie se provenienti da un contesto aziendale.

excel_phish_login_error_anonym

I dati inseriti, ossia l’indirizzo mail e la password, vengono inviati subito dopo il click su “scarica” allo stesso server a Hong Kong, da cui sono state caricate le immagini, tuttavia ad un altro dominio. I G DATA Security Labs ritengono che l’intero server sia controllato dai cybercriminali. Dopo l’invio dei dati, una pagina web presenta – ovviamente – una notifica di errore.

Come proteggersi quando si ricevono mail di questo genere

Partendo dal presupposto che tutti siano dotati di una soluzione di sicurezza che integri una protezione antispam aggiornata:

  • Verificate la plausibilità del messaggio chiedendovi:
    • La mia azienda ha motivo di ricevere un ordine dall’estero?
    • Il destinatario della mail sono io o sono indicati altri indirizzi?
    • Che impressione generale mi fa il messaggio? Ci sono errori evidenti?
  • Siate sospettosi quando ricevete mail da mittenti sconosciuti. Se la mail risulta “strana” ignoratela, cancellatela ma non aprite allegati e non cliccate su link. Soprattutto non rispondete alle mail di spam, mai, perché farlo corrisponde a confermare che il vostro indirizzo mail esiste, quindi assume un valore ancora maggiore per i criminali!
  • L’apertura di allegati é un fattore di rischio, occorre scansirli con una soluzione di sicurezza e poi cancellarli senza aprirli. In caso di dubbio girate il file senza aprirlo direttamente ai G DATA SecurityLabs per un’analisi.
  • I link nelle mail non vanno cliccati senza pensarci bene. L’indirizzo web andrebbe verificato. Molti client di posta elettronica consentono di verificare l’esatto rimando del link senza cliccarci sopra, bensì passandoci sopra il mouse. In caso di incertezze inviate l’indirizzo (senza cliccarci sopra) ai G DATA Security Labs per l’analisi.
  • Le e-Mail con allegati in formato HTM(L) dovrebbero essere valutate con grande scetticismo. Il formato è usato di norma per siti web, difficilmente per lo scambio di informazioni tra persone. Lo stesso dicasi per file in formato .JS (JavaScript).
  • Non comunicate dati personali, né per email, né tramite formulari di dubbia natura o su siti sospetti.
  • In un contesto aziendale: fate riferimento al vostro amministratore di sistema o al CISO, qualora un dato processo risulti sospetto.

Continua a leggere