Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

PEC di aziende e pubbliche amministrazioni nel mirino dei banking trojan: come difendersi?

20 Dic 2018

Gaia Rizzato

Trainee Information & Cyber Security presso P4I – Partners4Innovation

Marco Rizzi

Information & Cyber Security Advisor presso P4I – Partners4Innovation


DOMANDA

Negli ultimi giorni si è parlato di una nuova campagna di malspam che sta distribuendo il banking trojan DanaBot e prende di mira le PEC di aziende e pubbliche amministrazioni italiane. Come è possibile difendersi da questo pericoloso malware?

RISPOSTA

DanaBot sfrutta la tecnica del webinject per includere un codice malevolo all’interno di una pagina web: durante la fase di login alla webmail della vittima viene iniettato codice JavaScript all’interno delle pagine del servizio di posta elettronica. Questo codice sarebbe quindi in grado di raccogliere gli indirizzi e-mail contenuti negli account compromessi delle vittime e inviare i dati raccolti al server C&C dell’attaccante.

DanaBot è inoltre in grado di analizzare se la webmail è basata su Open-Xchange: se così fosse, il malware provvede ad iniettare un ulteriore script in grado di sfruttare l’account della vittima per inviare messaggi di posta a tutti gli indirizzi e-mail raccolti. I messaggi di posta elettronica infatti includono un allegato in formato ZIP scaricato dal server C&C e contenente un file PDF falso e un file VBS dannoso. L’esecuzione del file VBS porta al download di un ulteriore malware utilizzando un comando di PowerShell.

Grazie alla capacità di rispondere a messaggi legittimi già presenti nella casella di posta prese di mira e all’utilizzo di testi e-mail piuttosto plausibili, DanaBot riesce a ingannare gli utenti e a diffondersi in maniera decisamente veloce. Prestiamo quindi la massima attenzione ai messaggi non attesi o sospetti e in particolare a quelli dotati di allegati con estensioni file potenzialmente pericolose (quali .vbs o .lnk).

La difesa migliore da questa infezione è l’attenzione: non dobbiamo aprire qualsiasi allegato ci venga inviato, anche se da fonti che sembrano conosciute. Inoltre accertiamoci sempre che i link o gli allegati siano stati inviati di proposito e da persone fidate”.

DanaBot, quando è in esecuzione, si connette ai suoi server C&C per scaricare ed eseguire il codice malevolo. Utilizzando un firewall che impedisce le connessioni in uscita a server sconosciuti, permettendo connessioni unicamente a server “trusted”, magari con filtri di contenuti già predisposti, è possibile evitare gli effetti malevoli dell’infezione.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: espertolegal@cybersecurity360.it

Quesiti tecnologici: espertotech@cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5