KEVIN LIM / ST / SINGAPORE PRESS HOLDINGS
Malware
Una nuova ondata di attacchi è in corso contro le aziende italiane. Approfittando delle imminenti festività natalizie è tornato a circolare il malware bancario Ursnif tramite una campagna condotta con finte email. Quest’ultime sembrano giungere dal corriere DHL e portano con sé dei file nocivi.
In precedenza avevano cercato di impersonare il corriere espresso GLS al fine di indurre la vittima ad aprire i documenti incorporati, fogli di calcolo e pdf. Il malware Ursnif è in grado di rubare le credenziali salvate, intercettare il traffico web e installare altri agenti dannosi.
Il PDF riporta il logo di DHL ed un testo nel quale viene sollecitato il pagamento per una fantomatica fattura non pagata. Il file XLS è responsabile della catena di infezione e, una volta aperto, provvede a compromettere il sistema Windows sul quale è stato lanciato.
Prima di procedere con la compromissione, inoltre, esegue alcune verifiche per accertarsi che il target sia italiano. La campagna sembra essere parte di un triplo attacco verso utenti pubblici e privati per distribuire altrettanti malware: Emotet, Ursnif e FTCODE.Gli esperti di cyber security di Yoroi/Cybaze, azienda leader nel settore, ricordano che questa campagna dei cybercriminali è diretta espressamente contro l’Italia.
La conferma viene innanzitutto dalla qualità dei messaggi: l’intestazione dell’email indica ad esempio un “Avviso di giacenza” e l’allegato si chiama “Comunicazione_Spedizione_nome.xls”. Non ci sono evidenti errori grammaticali, tipici dei testi tradotti con sistemi automatici.
Come difendersi? Yoroi/Cybaze suggerisce di tenere d’occhio la propria organizzazione, monitorare i potenziali rischi per la sicurezza, tenere aggiornati firma e sandbox e verificare periodicamente il livello di sicurezza dei dispositivi di rete.
Altro accorgimento fondamentale è quello di informare periodicamente gli utenti sulle minacce emergenti e di impiegare un team di esperti per proteggere il cyber-perimetro delle proprie attività.
Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it
Post simili:
- Google si mette in casa Yomi, il cacciatore italiano di malware
- Yoroi Z-Lab ha messo a punto un decryptor per il ransomware LooCipher
- Trojan e ransomware: anche i virus informatici ‘usano’ il Covid per colpire
- Scoperte quattro false app di Apex Legends con dentro software-spia
- È in atto un attacco di hacker che fingono ricatti con materiali sessualmente espliciti