{"id":21157,"date":"2020-04-01T16:56:06","date_gmt":"2020-04-01T14:56:06","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21157"},"modified":"2020-04-01T17:00:30","modified_gmt":"2020-04-01T15:00:30","slug":"coronavirus-corporate-phishing-2","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/coronavirus-corporate-phishing-2\/21157\/","title":{"rendered":"Attacchi informatici alle aziende: un’esca chiamata coronavirus"},"content":{"rendered":"

Sappiamo che le e-mail con allegati dannosi<\/strong><\/a> inviati alle aziende non sono certo una novit\u00e0. Sono ormai almeno tre anni che ne vediamo di tantissime nel traffico di e-mail spazzatura. Pi\u00f9 il messaggio falso si avvicina all\u2019originale (grazie alle tecniche di ingegneria sociale<\/a>)<\/a>, pi\u00f9 \u00e8 probabile che la vittima non sospetti nulla.<\/p>\n

Questo genere di phishing<\/strong> \u00e8 particolarmente pericoloso per le aziende che vendono direttamente della merce, dal momeno che le e-mail con richieste di ordini, consegne e ordini di acquisto <\/strong>sono il loro pane quotidiano. Anche chi \u00e8 ben allenato a identificare un\u2019e-mail falsa a volte fa fatica a capire se si tratta di phishing<\/strong><\/a> o di un vero ordine di un cliente. E cos\u00ec il numero di e-mail false (ma molto convicenti) continua ad aumentare, anche se non parliamo dello stesso volume del normale spam,<\/strong> poich\u00e9 si tratta di e-mail create con uno scopo preciso e inviate a indirizzi scelti per raggiungere un obiettivo.<\/p>\n

Nel corso delle ultime settimane, gli scammer <\/strong>stanno sfruttando l\u2019epidemia del coronavirus <\/strong><\/a>per dare un tocco ancora pi\u00f9 credibile alle loro e-mail, che spesso fanno riferimento a problemi con le spedizioni per colpa del coronavirus (il destinatario, a sua volta, si domanda a cosa si riferiscano). In altri casi, invece, i cybercriminali <\/strong>sfruttano la pandemia per giustificare l\u2019ordine urgente<\/strong>, visto che i loro partner abituali non riescono a spedire la merce in tempo. Qualunque sia il caso, lo scopo \u00e8 quello di convincere la vittima ad aprire l\u2019allegato dannoso<\/strong>. I trucchi standard sono usati spesso come pretesto e di solito implicano che la vittima verifichi i dati dell\u2019ordine, le informazioni di invio o di pagamento, oppure la disponibilit\u00e0 di un prodotto.<\/p>\n

Di seguito vi proponiamo alcuni esempi che riguardano questo tipo di p<\/strong><\/a>hishing<\/strong><\/a> e i rischi che ne derivano.<\/strong><\/p>\n

Ritardo nella consegna<\/h2>\n

I truffatori scrivono che, a causa del COVID-19<\/strong>, la consegna di una certa merce sar\u00e0 posticipata. Si allegano i dati di consegna<\/strong> aggiornati, insieme ad altre istruzioni. In particolare, nell\u2019e-mail si chiede se i tempi di consegna sono idonei, costringendo in un certo qual modo il destinatario ad aprire l\u2019allegato,<\/strong> che a un primo sguardo sembra una fattura in formato PDF<\/strong>.<\/p>\n

\"\"<\/p>\n

Al posto della fattura, all\u2019interno si trova un installer NSIS <\/strong>che esegue uno script dannoso<\/strong><\/a>;<\/strong> lo script poi avvia un processo cdm.exe <\/strong>standard, grazie al quale viene eseguito un codice dannoso<\/strong>. In questo modo, il codice viene eseguito nel contesto di una procedura legittima, bypassando i meccanismi di difesa<\/strong> standard. Lo scopo finale \u00e8 quello di spiare ci\u00f2 che fa l\u2019utente. I nostri prodotti di sicurezza<\/strong><\/a> per le caselle di posta identificano la minaccia come Trojan-Spy.Win32.Noon.gen.<\/strong><\/p>\n

Nuovo ordine in tutta fretta<\/h2>\n

I truffatori<\/strong> sostengono che, per via dell\u2019epidemia di coronavirus<\/strong><\/a>, <\/strong>i loro fornitori cinesi non possono portare a compimento quanto richiesto. Pu\u00f2 sembrare piuttosto convincente, date le circostanze. Per evitare la delusione dei clienti, i truffatori desiderano effettuare un ordine urgente di certe merci (non specificate nell\u2019e-mail) presso la compagnia per la quale lavora il destinatario. Quale azienda pu\u00f2 resistere a un\u2019opportunit\u00e0 del genere, arrivata cos\u00ec all\u2019improvviso?<\/p>\n

\"\"<\/p>\n

Sorpresa, sorpresa, il file allegato non contiene un ordine ma una Backdoor.MSIL.NanoBot.baxo <\/strong>che, una volta avviata, esegue un codice dannoso <\/strong>all\u2019interno del processo RegAsm.exe (anche in questo caso, un tentativo di aggirare i meccanismi di difesa). Il risultato \u00e8 che i cybercriminali riescono a ottenere l\u2019accesso da remoto<\/strong><\/a> al computer della vittima.<\/strong><\/p>\n

Un altro ordine improvviso<\/h2>\n

Una variante del trucco appena descritto. Di nuovo, i cybercriminali <\/strong>menzionano un fantomatico fornitore cinese che ha problemi con le consegne e richiedono prezzi e termini di consegna per le merci indicate nell\u2019allegato, un file DOC<\/strong><\/a>.<\/strong><\/a><\/p>\n

\"\"<\/p>\n

Il fatto che si tratti di un file DOC <\/strong>ha una ragione. All\u2019interno si trova un exploit <\/strong><\/a>che sfrutta la vulnerabilit\u00e0 CVE-2017-11882<\/strong> presente in Microsoft Word (le nostre soluzioni la identificano come Exploit.MSOffice.Generic<\/strong>). Quando si apre il file, viene scaricata e avviata la Backdoor.MSIL.Androm.gen<\/strong>. L\u2019obiettivo, come avviene per tutte le backdoor<\/strong>, \u00e8 quello di ottenere l\u2019accesso da remoto al sistema infettato.<\/p>\n

Non c\u2019\u00e8 tempo da perdere!<\/h2>\n

Questa truffa \u00e8 rivolta a quelle compagnie que stanno subendo interruzioni<\/strong> nel proprio workflow<\/strong> a causa dell\u2019epidemia di coronavirus (<\/strong>un gruppo gi\u00e0 grande e sempre pi\u00f9 nutrito). I truffatori<\/strong> vogliono che il mittente evada comunque l\u2019ordine ma, al contempo, sperano che l\u2019azienda possa tornare alla normalit\u00e0 e possa risolvere i problemi causati dal coronavirus<\/strong>.<\/p>\n

\"\"<\/p>\n

Invece dell\u2019ordine<\/strong>, l\u2019allegato contiene il Trojan.Win32.Vebzenpak.ern <\/strong>che, una volta avviato, esegue il codice dannoso all\u2019interno del processo legittimo RegAsm.exe. Anche stavolta, lo scopo \u00e8 quello di ottenere l\u2019accesso da remoto al dispositivo ormai compromesso dal Trojan.<\/strong><\/p>\n

Come difendersi dagli allegati e-mail dannosi<\/h2>\n

Per evitare che i cybercriminali <\/strong>vi lascino come ricordo un Trojan <\/strong>o una backdoor<\/strong> in allegato<\/strong>, vi consigliamo di seguire queste indicazioni:<\/p>\n