Molto spesso abbiamo parlato di campagne malware veicolate, in modo molto classico, mediante allegati o documenti contenenti virus inviati tramite email contenenti messaggi che a prima vista possono anche apparire quantomeno realistiche, sebbene presentino sempre elementi che porterebbero i più attenti a cestinarle.
CERT-AgID nei giorni scorsi ha segnalato proprio una di queste campagne, che sta circolando nel nostro paese e che si presenta come un avviso di fattura o documenti non ricevuti ma dietro alla quale in realtà si cela un malware chiamato Adwind o jRAT. Le potenziali vittime, in questa campagna, ricevono una mail contenente un messaggio con oggetto riferito ad una fattura ed un allegato (ad esempio Re: fattura). Nel corpo della mail possiamo vedere un semplice testo che invita a fare clic su un bottone per visualizzare il documento.
Una volta fatto l’errore di cliccare sul link verrà aperto un file apparentemente in PDF ma apparirà prima una notifica che ci dice che stiamo utilizzando una versione vecchia del visualizzatore. Il primo campanello d’allarme è che l’estensione del file non è .PDF bensì .PDF.HTML, oppure soltanto .HTML. Andando avanti, il file malevolo è costruito in modo da rilevare che la lingua impostata sul device sia italiano, poiché in caso contrario verrà visualizzata solo una pagina bianca senza nessun testo, nel primo caso invece si vedrà il finto documento per intero. Tornando alla notifica di aggiornamento del lettore PDF, dando l’accesso all’aggiornamento verrà scaricato un file .JAR, che non è di per sé un virus ma che effettua varie verifiche sul device.
A sua volta, questo file .JAR scarica un finto jpeg che in realtà è un file con la stessa estensione e questo si ripete anche successivamente, quando sono terminati i controlli da parte del malware e viene scaricato Adwind/jRAT, ovvero un trojan che dà accesso remoto al sistema della vittima e mira all’esfiltrazione di dati. Questo malware si può trovare, secondo gli esperti di CERT-AgID, soltanto su ambienti Windows e, vista anche la natura dei controlli, non attacca ambienti virtuali.
In tutta questa complessità tecnica, vale come sempre il consiglio principale, ovvero quello di evitare di aprire email sospette e soprattutto di cliccare su qualsiasi link al loro interno. Volendo scegliere un criterio, osserviamo partendo dall’alto, ovvero dal mittente, l’email che ci arriva e scendiamo verso il basso. Se già il mittente è sospetto o comunque sconosciuto possiamo evitare di continuare il controllo e cestinare il messaggio, se invece scendiamo e vediamo il corpo del messaggio possiamo sicuramente notare elementi poco affidabili come link a documenti, banali errori di battitura e mancanza di firme. Se non si è sicuri ed i mittenti sembrano affidabili, è sempre meglio controllare di persona che il mittente ci abbia mandato realmente una mail, un passaggio in più che però, come vediamo spesso, può togliere di mezzo grossi problemi.
Fonte: 1