Torniamo a parlare di attacchi mirati al nostro paese e lo facciamo come sempre grazie agli aggiornamenti pubblicati dal CERT-AgID, un gruppo di esperti che raccolgono le segnalazioni delle campagne e delle vulnerabilità ancora in corso che mettono a repentaglio la sicurezza di aziende e cittadini italiani. Come al solito, la tempestività con la quale vengono aggiornati i cittadini deve necessariamente corrispondere alla tempestività dei soggetti interessati al raccogliere tali informazioni, che possono rivelarsi molto utili per evitare di cadere in trappole come quella che vedremo oggi.
Sembra che nei giorni scorsi le aziende italiane, soprattutto quelle che sono interessate a fare affari o a partecipare a bandi indetti da Saipem, azienda italiana del settore energetico. A scanso di qualsiasi equivoco, Saipem è assolutamente non responsabile della campagna che stiamo per descrivere, anzi ne è sicuramente vittima a livello di immagine. Sembra che ad essere coinvolta sia in questo caso la suite Office, che nonostante abbia fatto diversi sforzi per evitare l’attivazione di macro malevole provenienti da file infetti inoltrati via email, ancora sembra dare la possibilità ai malintenzionati di portare avanti campagne malware. È stata infatti notata una campagna che punta alla diffusione di un malware chiamato Formbook, che ruba informazioni a coloro che inavvertitamente lo installano sui propri device, tramite l’invio massivo di mail contenenti file PDF con loghi ufficiali Saipem e spacciati per documentazione tecnica. I file da scaricare sono stati inseriti come link e son stati protetti da una chiave d’accesso, quindi inseriti su piattaforme online per la raccolta e la condivisione di documenti come ad esempio Dropbox (ma non solo).
Ovviamente nel mirino sono finite, scientemente, tutte o quasi tutte aziende che potrebbero essere interessate a sinergie con Saipem e che quindi potrebbero essere invogliate ad aprire il file e fare clic sul PDF per scaricare i file utilizzando le password inserite nel documento. I file in questione sarebbero Excel e Word, ed alcuni di essi non conterrebbero neanche le macro malevole, ma quelli che le contengono attivano l’infezione ed installano il sopracitato Formbook sfruttando vari domini anche simili a quelli delle aziende del settore energetico. La pericolosità di questa campagna è soltanto per quelle aziende che verranno coinvolte, ma è anche data dall’enorme attenzione che è stata utilizzata, poiché come abbiamo detto Microsoft ha limitato al massimo l’utilizzo di macro malevole da parte degli hacker. Questo sembra essere stato aggirato tramite lo sfruttamento sapiente da parte di quest’ultimi di versioni più vecchie del pacchetto Office così come dal mancato aggiornamento o dalle possibilità di errori del personale.
Oltretutto è stata mandata una email che parlava di un bando, o comunque di qualcosa che viene trattato quasi ogni giorno dalle aziende che sono state messe nel mirino, pertanto i messaggi rischiano di mischiarsi a quelli legittimi. Così facendo, anche l’attenzione si abbassa e si tende ad aprire file in modo maldestro, come dicevamo anche sopra. Questo dimostra l’abilità degli hacker, che non hanno tirato su una strategia particolarmente sofisticata ma hanno architettato una campagna semplice e non inedita ma con una certa attenzione e capillarità nei dettagli, che possono portare alcune potenziali vittime a cadere nella trappola. CERT-AgID ha invitato tutti i potenziali interessati a mantenere alto il livello di attenzione e di segnalare eventuali ricezioni di email che possono rientrare in questa campagna.
Fonte: 1
