E’ in corso un attacco chiamato SLoad-ITA, versione localizzata in italiano di una campagna hacker già effettuata a maggio contro utenti del Regno Unito con l’obbiettivo di sottrarre dati riservati, tra cui anche quelli “particolari” ai sensi del GDPR, su larga scala. L’allarme sul primo attacco proviene dalla società di sicurezza informatica Yoroi, che ha diffuso una nota in cui spiega la dinamica di questo attacco, confermata anche dal CERT-PA.
Come avviene l’attacco
La modalità è sempre la classica mail in cui si cerca di indurre il destinatario a cliccare su un link presente nel corpo del messaggio o sull’allegato per aprire la presunta fattura. Tali mail contengono due tipi di codice malevolo (SLoad-ITA e Danabot) dal funzionamento analogo che, una volta eseguito, procede al download di altri file che nasconde sul computer da infettare che, a loro volta, riescono a rubare informazioni su tutti i dispositivi colpiti.
(fonte immagine https://www.cert-pa.it/notizie/campagna-malspam-con-payload-occultato-nel-file-zip/)
Come funzionano i virus SLoad-ITA e Danabot
L’infezione di SLoad-ITA nasce, come dicevamo, da una classica mail fraudolenta che ci invita ad aprire una fattura elettronica emessa a luglio.
L’allegato contenuto si presenta come un file .zip contenente due file: un’immagine .png e un collegamento .lnk. Cliccando sul file .lnk viene eseguito il codice malevolo vero e proprio, che è nascosto però nel precedente file .zip: questo permette al virus di superare la maggior parte dei controlli antivirus delle caselle di posta elettronica. Tale codice procede al download di altri file che nasconde sul computer da infettare che, a loro volta, riescono a rubare informazioni su tutti i dispositivi colpiti.
Il Trojan Danabot, che si presenta come una mail contenente una fattura datata Novembre 2018, contiene invece un file .rar che, una volta aperto, avvia uno script in grado di installare il codice malevolo sul pc. Inoltre, viene programmata l’esecuzione del malware ad ogni riavvio del PC, per combattere una eventuale scansione antivirus.
Quali dati possono essere rubati?
SLoad-ITA è in grado di tracciare, per esempio, informazioni sulle applicazioni che stiamo utilizzando, i dati della nostra connessione internet ed può eseguire screenshot periodici del nostro desktop. Tutte queste informazioni vengono poi inviate, a nostra insaputa, ai server degli hacker che rispondono inviando ulteriori file (diversi dai precedenti) ma ugualmente infetti e con nuove porzioni di codice malevolo.
Il Trojan Danabot, invece, tenta di sottrarci le credenziali (login e password) di sistema, le credenziali del browser e del client di email e infine di ottenere l’accesso remoto al nostro PC tramite i sistemi VNC e RDP.
Come proteggersi da SLoad-ITA e Danabot
Come abbiamo già specificato precedentemente, queste due minacce sono costruite in modo da riuscire ad eludere i filtri antivirus della maggior parte delle caselle di posta elettronica. SLoad-ITA, inoltre, una volta installato, è in grado di raggirare le scansioni antivirus locali aggiornando continuamente i file.
Danabot, seppur meno evoluto, ha comunque la capacità di aggirare i filtri antispam e la scansione locale una volta installato (grazie all’esecuzione programmata all’avvio del pc).
Al momento, quindi, la miglior misura di precauzione è diffidare delle mail ricevute ponendo molta attenzione in particolare al nome e l’indirizzo mail del mittente. In caso di dubbio è preferibile cestinare la mail per evitare di incorrere in un possibile data breach.
