Indice degli argomenti
Che cosa ruba il malware delle mail DHL
- password per l’accesso portafogli di varie criptovalute trovate sul sistema colpito
- credenziali/dati di vari programmi come Skype, Firefox, Steam, Edge, Telegram e altri
- dati generali del sistema, come nome utente, nome macchina, ip eccetera.
Com’è tipico di questi attacchi, si spinge l’utente a cliccare per aprire l’allegato, che si chiama “PRT_5789383485.zip” e contiene il file “PRT_5789383485.bat” a cui sono associati rispettivamente gli SHA-1 seguenti d5ea0e00bc83b98692184a66cc4b7d51b887a253 e 5755211d67f82feffdb749064e51921b1ced9519.
Perché è un attacco semplice, ma pericoloso
“Appare sempre più evidente come i cyber criminali si concentrino sulle criptovalute, utilizzando come spesso accade I pc infettati per fare mining o, come in questo caso, per rubare quelle possedute”, dice Alessio Pennasilico, analista di P4I e responsabile scientifico di Agendadigitale.eu.
“Da un punto di vista tecnologico l’attacco è banale, ma combina diverse tecniche, è ben fatto dal punto di vista del socil engineering e soprattutto, lavorando su base statistica, raggiungendo moltissimi utenti, ne colpirà tanti, questa è la preoccupazione del CERT che pubblica l’articolo. Si evince una volta di più che non sono gli attacchi “complessi” a preoccupare, ma la magnitudo e la frequenza di quelli banali”, continua.
“Notevole anche l’integrazione di altre funzionalità apparentemente secondarie, come la cattura di credenziali e dati di vari programmi come Skype, Firefox, Steam, Edge, Telegram ed altri e di dati del sistema colpito tra cui nome utente, nome macchina, ip ed altre. Tutto questo consente da parte degli attaccanti di ottenere archivi di identità digitali utili per successivi attacchi che possono avere conseguenze anche maggiori”, aggiunge Luca Bechelli, di P4I.
“Si pensi ad esempio al fatto che i PC bersaglio possano contenere credenziali aziendali, oltre che personali, con indirizzi di colleghi, informazioni contenute nelle chat, riferimenti (email, nomi, cognomi) dei clienti, un livello quindi di conoscenza che, in mano a malintenzionati, possono poi essere sfruttati (o rivenduti) per attacchi mirati”.
“Più semplicemente, la condivisione di queste informazioni nel dark web può impattare sulla reputazione delle persone /aziende vittime, in quanto anche se i dati sono di scarsa rilevanza dal punto di vista della riservatezza, non è dato di sapere il livello di profondità dell’attacco, e quindi se tali informazioni siano state raccolte con un malware “banale” come quello analizzato, oppure con azioni che hanno consentito un livello di accesso maggiore”.
Come difendersi
La semplicità di quest’attacco conferma che per difendere sé stessi e l’azienda oggetto di questi attacchi, la consapevolezza utente è lo strumento più efficace. A questo riguardo si veda la nostra guida completa su phishing e su security awareness dei dipendenti.
Security awareness dei dipendenti: il nuovo valore per mettere in sicurezza l’azienda