L’allarme arriva da Yoroi, società di sicurezza italiana, che ha intercettato una serie di messaggi di posta elettronica contenenti un link infetto che sembrano provenire dal Ministero dell’Economia e delle Finanze.
L’email, in sé, non è un capolavoro di social engineering: nonostante il riferimento al Ministero e l’uso di un italiano corretto (un’eccezione rispetto a simili campagne avviate da pirati informatici stranieri) utilizza mittenti piuttosto sospetti come info@amber-kate.com e info@fallriverproductions.com, che dovrebbero mettere sul “chi va là” i destinatari.
A rendere particolarmente insidioso l’attacco, però, è il riferimento a un F24 (il modello per il pagamento delle imposte – ndr) e il fatto che la campagna di distribuzione coincida con un periodo di scadenze esattoriali che rendono la trappola più credibile. L’oggetto delle email varia, ma utilizza formule come “Codici Tributo Acconti F24” o “Acconti-Codice Tributo 4034”
“Rispetto ad altri attacchi che prendono di mira interi settori, questo è specificatamente localizzato nel nostro paese” spiega Marco Ramilli, fondatore di Yoroi. “Stando a quanto abbiamo potuto ricostruire, ha colpito decine di società italiane, compresi alcuni enti pubblici come il Ministero degli Interni e la Camera dei Deputati”.
Il messaggio di posta, come spiegato, contiene un link che punta a pagine Web pubblicate su vari domini Internet e che avvia il download di un JavaScript il cui codice è pesantemente offuscato. La sua funzione è quella di scaricare ed eseguire un file chiamato 1t.exe.
Ministero Finanze
Il messaggio è piuttosto scarno e non contiene loghi o altri elementi grafici. Ma il fatto che arrivi in un periodo in cui ci sono delle scadenze fiscali lo rende molto più credibile di email simili che si sono viste in passato.
Si tratta di un malware che, secondo Ramilli, ha una certa somiglianza con GootKit. “Non abbiamo ancora analizzato a fondo il sample, ma sembra trattarsi di un classico trojan bancario, progettato per rubare le credenziali di accesso ai servizi di home banking”.
Secondo il ricercatore, però, il trojan in questione va un po’ oltre. “Dalle nostre analisi risulta che il malware rimanga in ascolto per ulteriori comandi dal server Command and Control” spiega Ramilli. Tradotto: a essere a rischio non sono solo le credenziali dei servizi bancari online, ma è possibile che il malware vada a rubare anche altre informazioni e crei una vera botnet sotto il controllo dei pirati informatici.
Yoroi ha intercettato i primi messaggi venerdì e ha completato l’analisi nel giro di 24 ore, inviando un alert a tutte le autorità competenti per contenere gli attacchi. Stando alle analisi, però, il malware avrebbe già fatto un discreto numero di vittime, di cui Ramilli ha pubblicato un elenco piuttosto impressionante.
Tra le aziende risultano anche Trenitalia; la società Autostrade; Banca Monte Dei Paschi Di Siena S.P.A.; Costacrociere; FINECO; Videotime; Telecom; Wind e FASTWEB. Tra gli enti pubblici il Ministero dell’Interno; la Camera dei Deputati; alcuni Comuni (Brescia, Bologna) e regioni (Basilicata, Toscana e Veneto).
Ma come ha fatto Yoroi a individuare le vittime? “Siamo riusciti a rintracciare i log di collegamento ai domini usati per diffondere il malware e, da qui, siamo risaliti alle possibili vittime attraverso gli indirizzi IP” spiega Ramilli.
L’uso del termine “possibili”, come ci ha spiegato nel corso dell’intervista il ricercatore, è una formula dettata più che altro dalla cautela. “Nei miei test ho verificato che i normali tentativi di collegamento ai siti usati per diffondere il malware non vanno a buon fine, mentre quelli fatti attraverso il dropper funzionano. Molto probabilmente sono filtrati in base all’agent che tenta il collegamento”.
Insomma: se nel log risulta che un collegamento ha avuto successo, è ragionevole presumere che sia avvenuto in seguito all’azione del JavaScript attivato dal link malevolo all’interno della mail.
Ramilli però invita a una certa cautela anche per quanto riguarda l’inclusione nell’elenco di alcune aziende che operano come Internet Provider, come Telecom e FASTWEB. “In questo caso è molto probabile che l’indirizzo IP si riferisca alla loro infrastruttura, ma a essere stati colpiti siano normali clienti che usano i loro servizi per la connettività”. Per essere chiari: l’ipotesi che dalle parti di Telecom abbiano migliaia di computer infetti è decisamente improbabile.
Il problema, però, è che nei giorni in cui è partito l’attacco (lo scorso week-end) il malware passava indenne il controllo della maggior parte degli antivirus. “Da una verifica su Virus Total, solo un antivirus considerava il file sospetto” conferma Ramilli.
Ora che Yoroi ha fornito le informazioni reperite nel corso di questi tre giorni, tutti i software di sicurezza stanno aggiornando le definizioni e il livello di protezione aumenterà sensibilmente.
Nel frattempo, però, se doveste ricevere un’email come quella descritta, la soluzione migliore è di cancellarla senza pensarci troppo.
Articolo pubblicato il giorno 23 Gennaio 2018 - 18:50
