In prossimità delle festività natalizie i ricercatori ESET hanno individuato una nuova variante del banking trojan DanaBot che torna a colpire gli utenti italiani ed in particolare gli indirizzi PEC delle aziende con nuove e pericolose funzionalità. In particolare, i creatori del malware hanno aggiunto una nuova funzione per la raccolta di indirizzi e-mail e l’invio massivo di messaggi spam sfruttando illegalmente le webmail delle vittime.
I ricercatori hanno inoltre individuato alcuni indizi che legano i criminal hacker che stanno dietro a DanaBot ai criminali autori del trojan Gootkit che già si erano resi protagonisti durante la campagna di malspam che il mese scorso ha preso di mira le PEC italiane: comportamento decisamente atipico tra gruppi criminali altrimenti indipendenti.
Indice degli argomenti
Indirizzi PEC aziendali di nuovo sotto attacco
Da una prima analisi di questa nuova variante di DanaBot si è scoperto che l’attacco sfrutta la tecnica del webinject per includere codice malevolo all’interno di una pagina web. Nel caso di DanaBot, in particolare, durante la fase di login alla webmail della vittima viene iniettato codice JavaScript all’interno delle pagine web del servizio di posta elettronica. Questo codice sarebbe quindi in grado di raccogliere gli indirizzi e-mail contenuti negli account compromessi delle vittime e inviare i dati raccolti al server C&C dell’attaccante.
DanaBot è inoltre in grado di analizzare se la webmail è basata su Open-Xchange (piattaforma utilizzata, ad esempio, dal portale libero.it): se così fosse, il malware provvede ad iniettare un ulteriore script in grado di sfruttare l’account della vittima per inviare messaggi di posta a tutti gli indirizzi e-mail raccolti. Per meglio camuffarsi e ingannare la vittima, i messaggi vengono inviati da DanaBot come risposte a messaggi già presenti in casella: uno stratagemma per rendere più efficace la campagna malevola e più veritieri i messaggi agli occhi dei destinatari.
È emerso, inoltre, che gli attaccanti sarebbero particolarmente interessati agli indirizzi e-mail aventi sottostringa “pec”, tipicamente utilizzata per gli indirizzi di posta elettronica certificata italiani. Ciò conferma che l’attacco è mirato su aziende e pubblica amministrazione più propense a utilizzare questo servizio di certificazione.
I messaggi di posta elettronica infatti includono un allegato in formato ZIP scaricato dal server C&C e contenente un file PDF falso e un file VBS dannoso. L’esecuzione del file VBS porta al download di un ulteriore malware utilizzando un comando di PowerShell.
Ecco il tipico esempio di e-mail infetta inviata da DanaBot: si notano gli indirizzi PEC dei destinatari e l’allagato ZIP contenente una finta fattura in formato PDF e uno script malevolo in formato VBS.
Attualmente queste nuove funzionalità malevoli sono destinate a colpire solo obiettivi italiani e ciò è confermato anche da alcuni domini di posta elettronica utilizzati da DanaBot:
- aruba.it
- bluewin.ch
- email.it
- libero.it
- mail.yahoo.com
- mail.google.com
- outlook.live.com
- tecnocasa.it
- tim.it
- tiscali.it
- vianova.it
Si è scoperto, inoltre, che il file VBS di DanaBot punta a un modulo di download di Gootkit e il suo codice, generato automaticamente, varia ogni volta in modo da essere difficilmente identificabile. Questo conferma il legame tra i due gruppi di criminal hacker, che finora avevano invece mantenuto segreto il loro codice sorgente malevolo. Recentemente, invece, si sta invece assistendo ad una maggiore “apertura” dei due malware: anche Gootkit, infatti, avrebbe distribuito il trojan Emotet in occasione delle campagne malevoli avvenute durante lo scorso Black Friday.
Difendersi da DanaBot: i consigli per le aziende
Grazie alla capacità di rispondere a messaggi legittimi già presenti nella casella di posta prese di mira e all’utilizzo di testi e-mail piuttosto plausibili, DanaBot riesce a ingannare gli utenti e a diffondersi in maniera decisamente veloce. Prestiamo quindi la massima attenzione ai messaggi non attesi o sospetti e in particolare a quelli dotati di allegati con estensioni file potenzialmente pericolose (quali .vbs o .lnk).
Secondo Diego Gagliardo, Chief Operating Officer di Endian, “l’e-mail è ormai il veicolo preferito per la diffusione di minacce di questo genere. La difesa migliore da questa infezione è l’attenzione: non dobbiamo aprire qualsiasi allegato ci venga inviato, anche se da fonti che sembrano conosciute. Anche i link, spesso link brevi, sono pericolosi: accertiamoci sempre che i link o gli allegati siano stati inviati di proposito e da persone fidate”.
“È possibile anche proteggersi dagli effetti del virus con strumenti adatti”, è il consiglio di Diego Gagliardo. “DanaBot, quando è in esecuzione, si connette ai suoi server C&C per scaricare ed eseguire il codice malevolo (come attacchi man-in-the-browser o azioni che sottraggono credenziali di sistema o addirittura permettono a hacker remoti di connettersi al PC). Utilizzando un firewall che impedisce le connessioni in uscita a server sconosciuti, permettendo connessioni unicamente a server “trusted”, magari con filtri di contenuti già predisposti, è possibile evitare gli effetti malevoli dell’infezione”.
È importante, quindi, adottare tutte le necessarie contromisure per prevenire anche gli attacchi da minacce sconosciute. “Il panorama globale delle minacce provenienti dai trojan bancari è cambiato radicalmente nell’ultimo anno”, è il commento di Gerardo Costabile, CEO di DeepCyber Srl. “Sono emersi 6 nuovi trojan bancari ovvero IcedID, BackSwap, DanaBot, MnuBot, Osiris, e Xbot, che si sommano ad altri 6 dello scorso anno tra cui il già citato Gootkit. Ma preoccupa soprattutto il collegamento tra i bad actor, che sempre più spesso cercano collaborazioni non convenzionali per avere maggiore successo, anche se probabilmente si tratta di opportunismo più che di una vera strategia criminosa”.
L’estrema pericolosità di questa nuova minaccia viene sottolineata anche da Fabrizio Croce, Area Director South Europe WatchGuard Technologies Inc.: “Questa minaccia informatica, anche se sembra un semplice trojan che utilizza l’ingegneria sociale per il suo deployment tramite e-mail e un file word compromesso, ha un importante impatto in quanto è in continua evoluzione polimorfica da maggio, quando fu inviato il primo attacco in Australia, e ogni versione aggiunge funzionalità di sniffing più complesse come lista dei siti bancari utilizzati, lista dei processi di criptovaluta, screenshoots, lista file presenti sull’har disk e così via”.
L’analisi di Fabrizio Croce si focalizza sul fatto che “in italia il grosso del problema è stata la sua diffusione tramite la PEC, giudicata un sistema estremamente affidabile: il malware, infatti, sembra aver sfruttato le credenziali di un account di posta certificata di un ignaro utente per l’invio di una copia di sè stesso a tutta la rubrica e a cascata ad altre PEC, e così via con un effetto domino importante”.
Secondo Croce, ci sono due aspetti da considerare: “il primo riguarda la difficoltà di un sistema di sicurezza basato su firme statiche come antivirus e IPS (Intrusion Prevention System) di reagire tempestivamente contro minacce poliformiche zero day; il secondo riguarda la protezione delle e-mail, del Windows/Mac logon, delle applicazioni con dei sistemi di autenticazione più forti non basati solo sulla semplice password. Una protezione efficace, in questi casi, è possibile grazie a nuove tecnologie come Cloud sandobox, antivirus senza signatures con intelligenza artificiale a machine learning e Autenticazione Multi Fattore (MFA) basata su token distribuiti tramiti dispositivi mobili sia con tecnologia Push, OTP o QR Code, associabile a dati biometrici a costi molto convenienti”.
Infine, per non cadere nella trappola di DanaBot, possiamo mettere in pratica i cinque semplici consigli che i ricercatori ESET hanno preparato per tutti gli utenti italiani:
- Massima prudenza durante la navigazione on-line. Il fattore umano è considerato, a ragione, l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione e nel leggere le e-mail. Mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati e-mail, anche se sembrano provenire da una fonte nota e attendibile.
- Attenzione ai link abbreviati. È importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo. Passiamo sempre il mouse sul link per vedere se questo punta effettivamente al sito di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.
- Dubbi su un messaggio di posta? Leggerlo di nuovo! Le e-mail di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo “Gentile Cliente”, seguiti da contenuto non plausibile o fuori contesto.
- Diffidare dalle minacce e dagli avvisi di scadenze imminenti. Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Di solito le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segnale di phishing. Alcune di queste minacce possono includere le comunicazioni su una multa o il consiglio a bloccare il proprio conto.
- Maggiore attenzione se si utilizza uno dei servizi webmail interessati Consultare il precedente elenco dei servizi esposti a rischio e prima di autenticarsi alla webmail verificare il proprio dispositivo con una soluzione antimalware efficace e adeguatamente aggiornata, evitare di accedervi se non si è certi dell’affidabilità del proprio sistema.
