Man checking his email on a laptop
Man checking his email on a laptop
Man checking his email on a laptop
Man checking his email on a laptop

Phishing, sempre in agguato

In questo periodo in cui siamo tutti a casa ma connessi via rete, gli attacchi informatici la fanno da padrone.
Il phishing, soprattutto, sembra godere di ottima salute ed è di questi giorni la scoperta, da parte della società di sicurezza Trustwave, di un nuovo attacco insidioso. Una nuova campagna malspam che, tramite mail, invia un file Excel 4.0 xls 97-2003 contenete una macro maligna, tramite la quale viene installato sul computer un trojan molto pericoloso.
Il tema del messaggio è sempre lo stesso, quello che permea quasi tutte le mail di phishing che circolano oggi: argomenti correlati al COVID-19, fatture false, vincite di buoni o apparecchiature elettroniche. Ma si sa, la mail deve attirare l’attenzione affinché il malcapitato sia spinto ad aprire il file.

Ma cosa contraddistingue questo malspam dai precedenti?

Gli hacker hanno aggiornato una vecchia tecnica di attacco malware portata tramite Excel 4.0, riuscendo, con uno stratagemma, a evitare che il programma chieda alla vittima di inserire una password per aprire il file allegato alla mail. Una volta aperto il file, secondo i ricercatori della Trustwave, vengono immediatamente eseguite una serie di macro tra cui una in particolare che installa un malware sul computer senza che la vittima si accorga di qualcosa.
Entriamo nel dettaglio.
Nelle versioni precedenti del malware, per poter bypassare i controlli di antivirus e antimalware installati sui computer, gli hacker utilizzavano un file Excel 4.0 protetto da password e inviato al mittente crittografato utilizzando Microsoft Enhanced Cryptographic Provider v1.0. La password per poter aprire il file era contenuta nel corpo della mail.
Sebbene ancora oggi questa tecnica richieda l’interazione dell’utente (l’allegato deve essere aperto per poter infettare il computer), il file xls, sempre inviato crittografato, si apre senza che venga chiesto di inserire fisicamente una password. In pratica, secondo un post pubblicato venerdì scorso dalla ricercatrice di Trustwave Diana Lopera, al file è stata associata la password di default predeterminata “VelvetSweatshop”; in questo modo, sfruttando una caratteristica di Excel 4.0 che tenta subito di aprire un file crittografato in modalità solo lettura con la password di default, il contenuto del file è immediatamente visualizzato e le macro attivate.

Lo scopo della macro? Installare un Banking Trojan

La prima cosa che fa la macro appena si attiva è di collegarsi a un preciso sito Internet che ospita Gozi (un Banking Trojan detto anche “Cavallo di Troia Bancario” scoperto nel 2007), scaricarlo, installarlo sul disco principale del computer (disco C) ed eseguirlo. Il tutto all’insaputa del mal capitato.
A questo punto rubare numeri di carta di credito oppure le credenziali bancarie utilizzate per trasferire somme di danaro dal conto della vittima diventa un gioco da ragazzi per l’hacker. Questi dati poi possono essere rivenduti o utilizzati per delle frodi bancarie.
Ma come funzionano questi Banking Trojan?
Una volta installati sul computer, i Banking Trojan iniziano sin da subito ad essere attivi e a mettere in atto attacchi mirati chiamati “Man in the Browser”, ovvero prendono il controllo del browser intercettando e modificando i dati utilizzati dall’applicazione. Il tutto sfruttando delle tecniche particolari, chiamate hooking, che consentono al malware di inserirsi nelle API usate dal browser e intercettare tutti i dati che transitano, anche se la connessione è cifrata. La ciliegina sulla torta, però, è la presenza del modulo WebInject, che consente ai criminali di modificare le pagine web che appaiono a video. Un esempio? Possono aggiungere campi all’interno di form (un modulo che l’utente compila con i propri dati, come nome, cognome, codice fiscale e via dicendo) allo scopo di rubare ulteriori informazioni sulla vittima.
I Cavalli di Troia Bancari sono molti, ma la cosa preoccupante è che si possono facilmente acquistare negli underground market in pacchetti (toolkit) pronti all’uso, con tanto di pannello di controllo, strumenti e procedure preconfezionate. I criminali, con un minimo di conoscenze informatiche, li possono persino personalizzare seguendo delle apposite guide recuperabili in rete, oppure i Banking Trojan possono essere personalizzati su commissione contattando direttamente i cyber criminali esperti.

Un bug Excel già noto ma ancora sfruttato

Questa vulnerabilità di Excel non è una novità, anzi. Questo problema è noto già da 10 anni.
Ai primi di aprile di quest’anno i ricercatori del Mimecast Threat Center hanno notato che un’altra campagna di malspam ha sfruttato proprio questa vulnerabilità, ma in questo caso si voleva diffondere un LimeRAT (Remote Access Trojan).
Realizzato per infettare macchine con il sistema operativo Windows, il LimeRAT è in grado di installare, sul pc della vittima, backdoor, crittografare i file memorizzati sul disco fisso come i più comuni ransomware, collegare il pc a botnet e installare minatori di criptovaluta. Altre caratteristiche interessanti del LimeRAT e che è in grado di congelare il computer, di rubare una gran varietà di dati i quali poi vengono inviati a uno specifico server command-and-control (C2) utilizzando la crittografia AES, oltre a disinstallarsi autonomamente se viene rilevata una macchina virtuale (VM), rendendo così difficile la vita ai ricercatori nel caso tentassero di decodificarlo.
Insomma il LimeRAT è decisamente un ospite indesiderato, che richiede pazienza anche nel rimuoverlo dalla macchina infetta.
Quindi prima di aprire qualsiasi file allegato a una mail, forse è meglio fermarsi, capire da chi arriva il messaggio e, se si hanno dei dubbi, è preferibile cancellare tutto. Un buon sito da consultare è quello della polizia postale (https://www.commissariatodips.it/), in cui vengono spesso elencate e descritte le principali frodi e i sistemi di phishing messi in atto dai criminali.