Torniamo a parlare di campagne phishing mirate alle aziende del nostro paese, che purtroppo non smettono mai di comparire e di provare a colpire in modo più o meno diffuso in tutta Italia cercando in ogni modo di far cadere in trappola i possibili obiettivi. Nel caso odierno, puntualmente segnalato da CERT-AgID, portale specializzato nella segnalazione delle offensive rivolte verso gli italiani, torneremo anche a parlare di una minaccia della quale abbiamo discusso recentemente.
Nell’aggiornamento di CERT-AgID del 17 settembre, abbiamo scoperto che intorno alla metà dello stesso mese sono iniziate a comparire alcune mail sospette, tutte inserite all’interno di quello che poi si è scoperta essere una vera e propria campagna di phishing che punta alla diffusione di FormBook, un malware che punta al furto di informazioni. All’interno dei messaggi, che con ogni probabilità hanno preso di mira solo le aziende del settore edile, si fa riferimento a dei progetti per dei lavori che devono essere svolti al Politecnico di Milano. Nelle email malevole si chiedeva infatti l’inoltro di un preventivo per un sedicente lavoro da effettuare al Campus Bovisa, per il quale poi il finto ateneo si sarebbe riservato il diritto di scegliere l’offerta migliore. Ovviamente è del tutto falso, ma nella mail si chiedeva, oltre al preventivo, di aprire un file ZIP contenente la documentazione da compilare per creare il suddetto prospetto di spesa. Ovviamente nella cartella compressa era presente uno script malevolo, che dopo una serie di operazioni avrebbe portato all’installazione di FormBook, un infostealer che, come dice il nome stesso, ruba le credenziali per l’accesso alle varie interfacce ed anche le informazioni private e sensibili della vittima.
Non si tratta di un’offensiva di particolare complessità, ma a quanto pare è strutturata in modo da avere maggiore efficacia e per sembrare verosimile agli occhi di chi riceve i messaggi malevoli. Questo perché alle aziende del settore interessato non capita di rado di ricevere richieste di preventivo, anche più di una durante il giorno, congiuntamente ad altri tipi di proposta, con messaggi costruiti in modo molto simile, a quanto pare. Nella confusione che si può creare verosimilmente tra richieste vere e fasulle, una potenziale vittima può diventare tale facendo anche un clic in modo distratto, e questo gli hacker lo sanno molto bene, impostando il tutto proprio per arrivare a questi errori. C’è da dire che nello screenshot del messaggio malevolo che viene mostrato nell’approfondimento di CERT-AgID viene mostrato l’indirizzo mail del mittente ed è tutto fuorché qualcosa di riferibile al Politecnico di Milano.
Nonostante questo, ovviamente CERT-AgID ha notificato all’ateneo milanese l’accaduto oltre a diffondere, appunto, l’approfondimento per rendere pubblica la truffa, ma è importante anche seguire i vari consigli che si possono dare per evitare casi come questo. Innanzitutto, l’abbiamo detto, è importante vedere bene gli indirizzi, anche se talvolta gli hacker riescono a mascherare quelli veri mettendone altri fasulli. In più, nei messaggi malevoli molto spesso sono presenti errori banali di battitura o, sempre nei mittenti, delle parole appena diverse dai nomi delle aziende impersonate dagli hacker, anche di pochissimo, quindi non basta dare un rapido sguardo. C’è poi una questione, importantissima, legata alla presenza di file in allegato o di cartelle compresse, che sono ancora peggio. Come linea generale, a meno che il destinatario non sia al 100% sicuro in base alle nostre conoscenze, i messaggi di posta contenenti quel tipo di allegato vanno scartate a priori, perché spesso e volentieri sono il vettore che porterà problemi all’interno dei propri sistemi.
Chiudiamo, accodandoci a CERT-AgID, raccomandando di inviare ad essi tutte le mail considerate sospette, per dare modo di effettuare tutte le analisi dei messaggi e condividere le informazioni con tutte le altre potenziali vittime. Questo genere di truffa, ricordiamo, era già stato perpetrato nel luglio scorso e riguardava sempre progetti ma in questo caso del settore dell’energia, quindi è verosimile che nel giro di qualche settimana gli hacker provino ad affacciarsi di nuovo con qualche altra campagna mirata ad altri tipi di azienda, ma con modalità diverse.
Fonte: 1
