Anche nell’approfondimento di oggi parliamo di minacce informatiche e in special modo di malware distribuiti dagli hacker di tutto il mondo per effettuare le più disparate operazioni sui sistemi delle vittime e mettere quest’ultime in difficoltà. Grazie alle minacce del team di SecureList di Kaspersky vediamo un po’ più da vicino il malware RAT (Remote Access Trojan) chiamato SambaSpy, reso importante per una principale particolarità, ovvero l’aver preso di mira il nostro paese dal maggio 2024, quando sono state notate le prime campagne per veicolarlo.
Il team Kaspersky spiega come mai si è così sicuri che sia l’Italia il paese preso di mira dicendo che solitamente è raro vedere solo un paese come principale bersaglio, poiché gli hacker tendono a scrivere email in più lingue ed allargare la platea di potenziali vittime. Nel caso di SambaSpy invece sono stati riscontrati più passaggi nella catena di infezione che verificano che gli utenti colpiti abbiano l’italiano, ad esempio, come lingua impostata nel device. Abbiamo detto che è raro, ma qualcosa di simile s’è visto con un PocoRAT, un malware indirizzato verso una platea di utenti esclusivamente spagnoli. Una volta entrato, tramite la più classica delle email contenenti allegato, ad infettare il dispositivo, il malware riesce a prendere controllo remoto anche di elementi come la webcam, trafugare le chiavi d’accesso salvate nei browser, gestire RDP e moltissime altre operazioni anche piuttosto critiche.
La mail sembrerebbe arrivare alle potenziali vittime da un indirizzo tedesco ma il messaggio è scritto in italiano e, come specchietto per le allodole, è stato utilizzato il dominio legittimo di una agenzia immobiliare. Nel messaggio, inoltre, si fa riferimento ad una certa fattura messa in allegato con un bottone in basso che recita “Visualizza documento”, sul quale si invita a cliccare. Una volta cliccato, il link riporta alla pagina di un noto fornitore di servizi di fatture elettroniche italiano e viene visualizzata una vera fattura da parte di una delle finte agenzie immobiliari i cui domini (ben dodici) sono stati registrati regolarmente dagli hacker per farle apparire come reali.
Al momento della visualizzazione della fattura partirebbe poi il vero processo di infezione dei device e dei sistemi della vittima. Allo stesso modo, c’è una seconda versione del processo che porta gli utenti più ignari a visualizzare un archivio OneDrive dopo aver cliccato su “Visualizza documento” utilizzando browser come Firefox, Chrome o Edge. A prescindere del metodo d’attacco, comunque, è importante aggiungere anche come gli esperti di Kaspersky abbiano notato una serie di indizi che porterebbero ad un gruppo di hacker portoghesi o brasiliani, che in modi diversi hanno preso di mira paesi specifici come l’Italia, il Brasile e la Spagna.
Per proteggersi da questa importante minaccia, che come abbiamo visto è più articolata del solito e può trarre maggiormente in inganno di altre, è importante ricordare di tenere aggiornati innanzitutto tutti i sistemi come i browser, le VPN ed i vari software utilizzati, così com’è importante l’impostazione di password forti per i sistemi RDP. Un accento speciale viene posto dagli esperti anche sulle politiche di controllo, a scopo difensivo, di potenziali anomalie che possono portare a scoprire movimenti laterali e di eventuali furti di dati in corso. Per poterlo fare è necessario guardare, tra gli altri fattori, il traffico verso l’esterno, poiché eventuali “ladri di dati” saranno collegati con sistemi esterni. Aggiungiamo in chiusura un riferimento sempre necessario sulla cultura alla cybersecurity, visto che comunque si parla di allegati malevoli e di finte fatture che possono scatenare una catena di contagio se si cade in trappola. Nessuna minaccia di questo genere è irriconoscibile, ciò che serve è usare un approccio che si avvicini sempre di più al cosiddetto zero trust.
Fonte: 1