Dopo aver visto le minacce più diffuse a livello mondiale negli ultimi mesi, torniamo a parlare del nostro paese, ovvero dei virus e delle campagne riscontrate sul nostro territorio e mirate agli utenti italiani segnalate puntualmente da CERT-AGID. Ricordiamo che negli approfondimenti pubblicati da CERT-AgID sono disponibili anche tutti i dettagli tecnici ed anche gli indicatori di compromissione insieme ad altri strumenti utili alla propria protezione.
Tornando alla campagna riscontrata, nelle scorse settimane l’azienda Fortinet aveva segnalato una campagna phishing che prendeva di mira tre paesi UE, ovvero Spagna, Italia e Portogallo, e che puntava alla diffusione di un malware di tipo RAT (Remote Access Trojan) chiamato Adwind. La pericolosità di questa campagna è costituita dal fatto di riuscire innanzitutto a sfuggire ai controlli SPF poiché composta in modo da superarli, oltretutto sebbene sfrutti un provider mail chiamato ServiciodeCorreo, che viene visto come autentico, a seconda del paese colpito i sistemi consentono il cambio automatico della lingua visualizzata a partire da quella impostata sul browser dell’ospite. Ciò rende quindi difficile scoprirlo alle primissime battute, ma oltretutto nelle mail che vengono ricevute viene chiesto di dare un’occhiata a due fatture, cosa che capita spesso, che ovviamente se vengono aperte contengono il RAT incriminato. Questo succede perché una volta aperto il file chiede di aggiornare il visualizzatore di PDF con una falsa notifica ed un falso pulsante, che se premuto porta a un link Dropbox dal quale si scaricherebbe un file di tipo html chiamato fattura (in Italia, come già detto). Ciò che succede dopo è facilmente immaginabile, ma lo riassumiamo dicendo che si fa clic su uno di quei tool per dimostrare di non essere un robot e poi nella pagina successiva si deve cliccare su un tasto che consente di vedere il documento, ma si viene nuovamente rimandati ad un link della piattaforma Mediafire, cosa che fa ancora eludere i controlli poiché, di base, legittima. Se poi a fine procedura ci si collega al link gli utenti italiani, fortunatamente, non potranno scaricare il file VBS col finto documento, ma vedranno un PDF con una fattura che si rivelerà falsa poiché anche in spagnolo.
Il fatto che fa decadere il tutto è che il documento incriminato è uguale per chiunque, in qualunque paese europeo, apra i link e segua la procedura, per cui è anche facilmente capibile che si tratta di una truffa. Ma, come abbiamo detto, una volta che si vede il documento l’infezione è già iniziata, per cui si è già in pericolo e siamo già caduti in trappola. Tutti questi link e redirect inseriti danno l’idea di quanto sia stata ben congegnata la truffa, che riesce con questi stratagemmi ad evitare i classici controlli utilizzando anche tecniche di ingegneria sociale per indurre a fare clic ovunque sia richiesto. Il fatto poi che la mail che dà inizio a tutto è totalmente legittima per i sistemi analitici dei provider email fa sì che entri in modo pacifico e che tutti se la possano verosimilmente ritrovare nella propria posta in arrivo. Usando poi sistemi gratuiti e sempre legittimi come Drive, Dropbox, MediaFire e quant’altro, oltre a geolocalizzare le vittime per effettuare una personalizzazione maggiore dell’offensiva, gli hacker riescono con maggiore probabilità a colpire nel segno in modo quasi indisturbato.
Una volta compromessi dal trojan, i sistemi vengono controllati in modo persistente, per cui il rischio corso è ancora maggiore. La buona notizia è che per proteggersi è possibile utilizzare alcuni sistemi antivirus di recente generazione, riscontrabili sul mercato a costi anche abbordabili, che quantomeno si insospettirebbero dando una prima analisi agli allegati contenuti nelle email malevole. È ovvio anche, come sempre, che il phishing fa breccia anche a causa di errori umani, pertanto è sempre sconsigliato aprire allegati inerenti a documenti che non aspettavamo e che non abbiamo mai richiesto.
