Le email dannose vengono inviate via PEC come risposte a messaggi reali trovati nelle mailbox compromesse, facendo sembrare che siano effettivamente i proprietari delle caselle postali a spedirle
Secondo i dati dei ricercatori di ESET, DanaBot – il famigerato Trojan bancario che in passato ha ingannato numerosi utenti tra cui molti Italiani – si è evoluto diventando più pericoloso e aggiungendo una nuova funzione per la raccolta di indirizzi email e invio di messaggi spam, grazie alla quale è in grado di utilizzare illegalmente gli account Webmail delle vittime.
Invio di spam dalle caselle di posta delle vittime
Secondo i ricercatori di ESET, DanaBot è in grado ora di raccogliere indirizzi email dalle caselle postali delle proprie vittime, iniettando uno script dannoso nelle pagine Web dei servizi Webmail compromessi dopo la fase di autenticazione dell’utente; successivamente tale codice analizza i messaggi contenuti nell’account e invia tutti gli indirizzi a un server C & C. Se il servizio di Webmail interessato è basato sulla suite Open-Xchange, come ad esempio il popolare servizio di posta elettronica italiano libero.it, DanaBot inietta anche uno script che ha la possibilità di utilizzare la casella di posta della vittima per inviare spam indirettamente agli indirizzi email raccolti. Le email dannose vengono inviate come risposte a email reali trovate nelle mailbox compromesse, facendo sembrare che siano effettivamente i proprietari delle caselle postali a spedirle. È interessante notare come i criminali siano particolarmente interessati agli indirizzi email contenenti la sottostringa “pec”, che si trova negli indirizzi di posta elettronica certificata specifici per l’Italia. Ciò potrebbe indicare che gli autori di DanaBot si stiano concentrando su obiettivi aziendali e di pubblica amministrazione che sono più propensi a utilizzare questo servizio di certificazione.
Le email includono allegati ZIP, pre-scaricati dal server dei truffatori, contenenti un file PDF falso e uno VBS dannoso. L’esecuzione del file VBS porta al download di un ulteriore malware grazie ad un comando di PowerShell.
Come evitare le insidie di DanaBot ed effettuare lo shopping online in tutta sicurezza?
DanaBot sta ingannando numerosi utenti grazie alla capacità di rispondere a messaggi legittimi e all’utilizzo di testi email piuttosto plausibili. Per non cadere nella trappola di DanaBot durante gli acquisti natalizi e trascorrere le prossime festività in tutta tranquillità, gli esperti di ESET hanno preparato 5 semplici consigli per tutti gli italiani:
1Massima prudenza durante la navigazione online
Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati email, anche se sembrano provenire da una fonte nota e attendibile.
2Attenzione ai link abbreviati
È importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.
Si consiglia di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.
I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
3Dubbi su un messaggio di posta? Leggerlo di nuovo!
Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente‘, seguiti da contenuto non plausibile o fuori contesto.
I cybercriminali spesso commettono errori in queste email, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.
4Diffidare dalle minacce e dagli avvisi di scadenze imminenti
Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Di solito le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing. Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto.
5Maggiore attenzione se si utilizza uno dei servizi Webmail interessati
Prima di autenticarsi alla Webmail verificare il proprio dispositivo con una soluzione antimalware efficace e adeguatamente aggiornata ed evitare di accedervi se non si è certi dell’affidabilità del proprio sistema.