ATTACCHI MALSPAM

Il malware sLoad torna a colpire le PEC italiane con finti solleciti di pagamento: ecco come difendersi

Una massiccia campagna di malspam sta diffondendo una variante del malware sLoad che prende di mira le caselle di posta elettronica certificata di aziende e utenti italiani. Ecco i dettagli tecnici per riconoscere le e-mail infette e i consigli per mettere al sicuro la propria PEC

14 Gen 2020

Sarebbero già oltre 100.000 le caselle di posta elettronica certificata infettate con una nuova variante del malware sLoad: è quanto risulta dall’analisi del CERT-PA che sta monitorando l’ennesima massiccia campagna di malspam che sta prendendo di mira le PEC di aziende e utenti italiani.

Come già successo a giugno dello scorso anno, quando sLoad prese di mira le PEC degli iscritti all’Ordine degli ingegneri di Roma, e successivamente a luglio quando il malware diffuse finte comunicazioni che invitavano le vittime a consultare il sito dell’Agenzia per l’Italia Digitale per effettuare una verifica di autenticità sulla sua firma digitale, i criminal hacker utilizzano gli indirizzi PEC per veicolare malware di ogni genere nascosto all’interno di allegati infetti.

I dettagli della nuova variante del malware sLoad

In questa nuova campagna di malspam gli attacchi vengono condotti mediante e-mail certificate dirette al personale amministrativo delle organizzazioni. Il testo del messaggio invita loro a prendere visione della documentazione allegata contenente finti solleciti di pagamento.

In realtà, l’apertura dell’allegato avvia l’infezione del sistema con la nuova variante di sLoad che i criminal hacker hanno modificato per rimanere nascosto e silente mentre ruba informazioni e dati riservati della vittima, installa altri codici malevoli e attiva una backdoor che consente agli attaccanti di accedere da remoto alla rete locale a cui è collegato il computer compromesso.

Dai campioni della nuova variante del malware sLoad isolati dai ricercatori di sicurezza si evince che le finte PEC hanno come oggetto Sollecito Avviso N. CU69151275241 (ma il numero indicato può variare) e contengono in allegato un archivio ZIP al cui interno sono presenti due file:

  • un PDF malformato che, se aperto, causa un errore di visualizzazione inducendo l’utente ad aprire l’altro file;
  • un file .vbs contenente lo script che avvia la catena infettiva del malware.

In particolare, l’esecuzione del file .vbs avvia il download di un altro script PowerShell da un server remoto che viene memorizzato all’interno della cartella C:UsersPublicDocuments*.jpg e successivamente eseguito per iniziare l’infezione vera e propria della macchina target.

sLoad inizia, così, la sua opera malevola e, tra le altre cose, inizia a trafugare tutti i file con estensione .ost archiviati nel percorso C:UsersUSER_NAMEAppDataLocalMicrosoftOutlook.

Come già successo in passato, i criminal hacker usano mittenti reali le cui caselle di PEC sono state già compromesse in precedenti attacchi: stratagemma, questo, che serve a convincere le potenziali vittime dell’autenticità dei messaggi infetti.

WEBINAR
Machine Learning, Analytics e hybrid cloud a supporto della Cybersecurity. Ecco come in un webinar
Big Data
Intelligenza Artificiale

I messaggi, inoltre, sono scritti in un italiano quasi perfetto per dare maggiore credibilità ai contenuti.

Le differenze con la vecchia versione di sLoad

Nella precedente variante campagna malspam usata per la diffusione di un’altra variante di sLoad, il testo invitava la vittima a consultare il sito dell’Agenzia per l’Italia Digitale per effettuare una verifica di autenticità sulla sua firma digitale.

Aprendo il file ZIP in allegato ai messaggi, la vittima del malspam si trovava davanti a due distinti file:

  • comunicazione clientela.pdf
  • comunicazione clientela.vbs

Anche in questo caso, provando ad aprire il file PDF veniva visualizzato un messaggio di errore in lettura dei contenuti. Ovviamente il documento è volutamente danneggiato per indurre l’utente ad aprire il secondo file in formato VBS. Così facendo, però, viene eseguito un codice malevolo PowerShell che visualizza il contenuto del file PDF e successivamente scarica e avvia il malware sLoad che si pone in modalità di ascolto in attesa di istruzioni dal server di controllo e comando (C&C) gestito dai criminal hacker.

Anche questa variante di sLoad, come quella che il mese scorso ha preso di mira le PEC dell’Ordine degli ingegneri di Roma, si distingue per le particolari tecniche di offuscamento del codice malevolo.

Subito dopo l’attivazione, il malware sLoad raccoglie alcune informazioni tecniche relative alla macchina infettata tra cui il codice UUID (Universally Unique IDentifier, in italiano: identificativo univoco universale) e le invia ad una URL che, presumibilmente, è utilizzata come server C&C.

Successivamente, effettua una vera e propria schedulazione delle attività di download del codice aggiuntivo necessario al suo funzionamento.

In particolare, una di queste attività pianificate viene creata utilizzando come nome i primi 6 caratteri dell’UUID ed è quella che, a cadenza temporale prefissata, esegue il codice malevolo del malware sLoad.

Come difendersi dalla nuova campagna di malspam

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti di questa nuova campagna di malspam sono ben studiate ed è quindi facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è dunque necessario dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

WEBINAR
Gestione documentale digitale di ultima generazione: opportunità e benefici
Dematerializzazione

Articolo pubblicato in data 19 luglio 2019 e aggiornato in seguito alla scoperta di una nuova variante del malware sLoad.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4