Attacchi informatici alle aziende: un’esca chiamata coronavirus

La paura generata dal coronavirus viene sfruttata dai cybercriminali per attaccare le aziende e installare malware

Sappiamo che le e-mail con allegati dannosi inviati alle aziende non sono certo una novità. Sono ormai almeno tre anni che ne vediamo di tantissime nel traffico di e-mail spazzatura. Più il messaggio falso si avvicina all’originale (grazie alle tecniche di ingegneria sociale), più è probabile che la vittima non sospetti nulla.

Questo genere di phishing è particolarmente pericoloso per le aziende che vendono direttamente della merce, dal momeno che le e-mail con richieste di ordini, consegne e ordini di acquisto sono il loro pane quotidiano. Anche chi è ben allenato a identificare un’e-mail falsa a volte fa fatica a capire se si tratta di phishing o di un vero ordine di un cliente. E così il numero di e-mail false (ma molto convicenti) continua ad aumentare, anche se non parliamo dello stesso volume del normale spam, poiché si tratta di e-mail create con uno scopo preciso e inviate a indirizzi scelti per raggiungere un obiettivo.

Nel corso delle ultime settimane, gli scammer stanno sfruttando l’epidemia del coronavirus per dare un tocco ancora più credibile alle loro e-mail, che spesso fanno riferimento a problemi con le spedizioni per colpa del coronavirus (il destinatario, a sua volta, si domanda a cosa si riferiscano). In altri casi, invece, i cybercriminali sfruttano la pandemia per giustificare l’ordine urgente, visto che i loro partner abituali non riescono a spedire la merce in tempo. Qualunque sia il caso, lo scopo è quello di convincere la vittima ad aprire l’allegato dannoso. I trucchi standard sono usati spesso come pretesto e di solito implicano che la vittima verifichi i dati dell’ordine, le informazioni di invio o di pagamento, oppure la disponibilità di un prodotto.

Di seguito vi proponiamo alcuni esempi che riguardano questo tipo di phishing e i rischi che ne derivano.

Ritardo nella consegna

I truffatori scrivono che, a causa del COVID-19, la consegna di una certa merce sarà posticipata. Si allegano i dati di consegna aggiornati, insieme ad altre istruzioni. In particolare, nell’e-mail si chiede se i tempi di consegna sono idonei, costringendo in un certo qual modo il destinatario ad aprire l’allegato, che a un primo sguardo sembra una fattura in formato PDF.

Al posto della fattura, all’interno si trova un installer NSIS che esegue uno script dannoso; lo script poi avvia un processo cdm.exe standard, grazie al quale viene eseguito un codice dannoso. In questo modo, il codice viene eseguito nel contesto di una procedura legittima, bypassando i meccanismi di difesa standard. Lo scopo finale è quello di spiare ciò che fa l’utente. I nostri prodotti di sicurezza per le caselle di posta identificano la minaccia come Trojan-Spy.Win32.Noon.gen.

Nuovo ordine in tutta fretta

I truffatori sostengono che, per via dell’epidemia di coronavirus, i loro fornitori cinesi non possono portare a compimento quanto richiesto. Può sembrare piuttosto convincente, date le circostanze. Per evitare la delusione dei clienti, i truffatori desiderano effettuare un ordine urgente di certe merci (non specificate nell’e-mail) presso la compagnia per la quale lavora il destinatario. Quale azienda può resistere a un’opportunità del genere, arrivata così all’improvviso?

Sorpresa, sorpresa, il file allegato non contiene un ordine ma una Backdoor.MSIL.NanoBot.baxo che, una volta avviata, esegue un codice dannoso all’interno del processo RegAsm.exe (anche in questo caso, un tentativo di aggirare i meccanismi di difesa). Il risultato è che i cybercriminali riescono a ottenere l’accesso da remoto al computer della vittima.

Un altro ordine improvviso

Una variante del trucco appena descritto. Di nuovo, i cybercriminali menzionano un fantomatico fornitore cinese che ha problemi con le consegne e richiedono prezzi e termini di consegna per le merci indicate nell’allegato, un file DOC.

Il fatto che si tratti di un file DOC ha una ragione. All’interno si trova un exploit che sfrutta la vulnerabilità CVE-2017-11882 presente in Microsoft Word (le nostre soluzioni la identificano come Exploit.MSOffice.Generic). Quando si apre il file, viene scaricata e avviata la Backdoor.MSIL.Androm.gen. L’obiettivo, come avviene per tutte le backdoor, è quello di ottenere l’accesso da remoto al sistema infettato.

Non c’è tempo da perdere!

Questa truffa è rivolta a quelle compagnie que stanno subendo interruzioni nel proprio workflow a causa dell’epidemia di coronavirus (un gruppo già grande e sempre più nutrito). I truffatori vogliono che il mittente evada comunque l’ordine ma, al contempo, sperano che l’azienda possa tornare alla normalità e possa risolvere i problemi causati dal coronavirus.

Invece dell’ordine, l’allegato contiene il Trojan.Win32.Vebzenpak.ern che, una volta avviato, esegue il codice dannoso all’interno del processo legittimo RegAsm.exe. Anche stavolta, lo scopo è quello di ottenere l’accesso da remoto al dispositivo ormai compromesso dal Trojan.

Come difendersi dagli allegati e-mail dannosi

Per evitare che i cybercriminali vi lascino come ricordo un Trojan o una backdoor in allegato, vi consigliamo di seguire queste indicazioni:

  • Esaminate attentamente le estensioni dei file in allegato. Se si tratta di un file eseguibile, la probabilità che si tratti di un allegato non sicuro si avvicina al 100%;
  • Verificate l’effettiva esistenza della compagnia che ha mandato l’e-mail. Al giorno d’oggi, anche le aziende più piccole sono presenti online in qualche modo (sui social network, ad esempio). Se non trovate nulla, lasciate perdere tutto: in ogni caso, anche se l’azienda esistesse, forse non varrebbe la pena collaborarci;
  • Verificate che i dati nel campo del mittente e quelli nella firma automatica Che ci crediate o no, i cybercriminali spesso non fanno caso a questi dettagli quando falsificano le e-mail;
  • Ricordate che i cybercriminali possono ricavare informazioni sulla propria “azienda” da risorse disponibili per tutti, per poi perpetrare attacchi di spear phishing. Se avete dubbi sulle informazioni contenute in un’e-mail che avete ricevuto, mettetevi in contatto con l’azienda per assicurarvi che il messaggio sia legittimo;
  • E soprattutto, fate in modo che la vostra azienda utilizzi una [KESB placeholder] soluzione di sicurezza affidabile[KESB placeholder] sia sulle workstation, sia sul server di posta elettronica. La soluzione di sicurezza deve essere aggiornata regolarmente e avvalersi di database altrettanto aggiornati. Se così non fosse, sarebbe difficile stabilire se un allegato e-mail sia dannoso, in particolare se si ha a che fare con documenti Office.
 

Autore
Tatyana Shcherbakova
Kaspersky blog

8 Aprile 2020