Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Fatture false via mail, malware per rubare dati bancari: come difendersi

E’ in corso campagna di mail spam con malware in fatture false, allo scopo di rubare password, token e cookie di sessione relativi a sessioni utente presso istituti bancari o finanziari

05 Giu 2018

E’ in corso una campagna mail spam con malware e finte fatture, a quanto riporta Yoroi (rilanciato dal Cert Pa).

Gli attacchi avvengono tramite l’invio di messaggi di posta fraudolenti con tematiche fiscali: richieste, conferme e fatturazioni del mese di giugno. Sono scritte in modo da indurre la vittima ad aprire un documento Excel in grado di infettare silenziosamente il computer.

Dopo il clic di apertura, infatti, il foglio di calcolo scarica e mette in esecuzione una variante malware della famiglia Zeus/Panda, configurata per rubare informazioni, anche con keylogging: password, token e cookie di sessione relativi a sessioni utente presso istituti bancari o finanziari tra cui CEDACRI, CREDEM, FINECO, GRUPPO CARIGE, INTESA SANPAOLO, MPS, POSTE, QUERCIA, BANCA PASSADORE, FRIULADRIA, BPER, INBANK.

In fondo a questo articolo qualche esempio.

Come funzionano le mail fatture false con malware e come difendersi

“In azienda sono a rischio soprattutto le persone in contatto con i fornitori e clienti, quindi chi lavora con le fatture. In un’azienda grande c’è un team di security a cui fare riferimento e che è in grado di determinare se il file è da aprire. In quelle più piccole, come la solito, la questione è più problematica”, dice Alessio Pennasilico, responsabile scientifico di Cybersecurity360 e analista P4i.

“La regola generale è aprire allegati mail sempre in maniera critica. In particolare il mittente è sconosciuto. Ma anche se il mittente è conosciuto non è una garanzia di affidabilità (è sempre possibile che un computer contenente quell’indirizzo mail sia stato infettato). E’ utile a questo scopo sviluppare una consapevolezza sui rischi cyber in azienda, il che include anche il restare informati su quali siano i pericoli più diffusi del momento. In questo caso, appunto, la circolazione di mail infette con fatture fasulle”.

“Come sempre – continua Pennasilico, sono raccomandabili policy aziendali di formazione e informazione (generale e aggiornata) sulla cyber security”.

Aggiunge Marco Ramilli, CEO di Yoroi, per il nostro sito: “Dai dati che abbiamo raccolto emerge chiaramente come gli autori dell’attacco conoscano bene il sistema fiscale del nostro Paese e come il loro obiettivo sia quello di colpire il maggior numero possibile di aziende italiane. Già nel nostro report annuale, infatti, avevamo evidenziato che l’email è tra i principali percorsi di propagazione degli attacchi per l’81% del totale delle osservazioni e che la prima tipologia di file portatori di malware sono i file “Office”, quasi un portatore “naturale” di malware, in testa con il 61% dei casi rilevati”.

Esempio di fattura in foglio elettronico malevolo (con malware)

L’e-mail si presenta con le seguenti caratteristiche:

  • mittenti falsificati attualmente individuati:
    • @infinito.it, @acli.it, @provincia.arezzo.it, @poliziadistato.it, @mediaset.it, @formez.it, @comune.padova.it, @agenziadogane.it,  @istruzione.it, @mediaw.it, @marina.difesa.it, @comune.fi.it, @senato.it,  @antonveneta.it, @sirti.it, @gruppopam.it, @entecra.it, @ausl.mo.it, @usl3.toscana.it, @unimi.it, @tiscali.it, @comune.sp.it, @comune.pv.it, @virgilio.it, @lycos.it, @pecveneto.it, @regione.lombardia.it
  • Oggetto:
    • “Fatturazione e pagamento – giugno”
    • “fattura Giugno”
    • “fattura”
    • “Re: R: Richiesta”
    • “Conferma fattura”
    • “Invio fattura n° 000935 del 04/06/2018”
  • Allegato:
    • “IBAN_F5721_<NOME_UTENTE>.xls”

Cos’è e come funziona il malware ZeuS Panda attraverso email false

ZeuS Panda, (anche chiamato Panda Banker) è una variante del ben più noto “cavallo di troia” (trojan horse) Zeus, che viene classificato come un trojan bancario.

Zeus Panda è stato scoperto nel 2016 in Brasile, ha fatto la sua prima apparizione durante i giochi olimpici.

La maggior parte del codice deriva dal trojan Zeus originale, come detto in precedenza, e mantiene la codifica per eseguire il man-in-the-browser, la registrazione della sequenza di tasti e gli attacchi di tipo “grabbing”.

ZeuS Panda lancia campagne di attacco con una varietà di exploit, tramite ad esempio download di file attraverso e-mail di phishing, proprio come descritto in alto, e inoltre anche attraverso i risultati di ricerca sui motori di ricerca (ad esempio Google), facendo cliccare l’utente su un risultato di un sito che poi reindirizza magari a pagine infette.

Le funzionalità stealth rendono difficile non solo rilevare ma analizzare il malware.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5