Malspam, l'Italia sotto attacco hacker

Due gli attacchi hacker attualmente in corso in Italia, il cui scopo è rubare agli utenti dati sensibili su larga scala. A dare l'allarme sul primo attacco la società di sicurezza informatica Yoroi, che ha diffuso una nota in cui spiega la dinamica di questo attacco. La notizia è stata, poi, confermata anche dal Computer Emergency Response Team della Presidenza del Consiglio dei Ministri per la Pubblica Amministrazione (CERT-PA). 

L'attacco, denominato SLoad-ITA, è iniziato il 10 novembre e i picchi massimi, al momento, si sono registrati nei giorni tra il 19 e il 24 novembre. Ha già raggiunto migliaia di caselle postali attraverso una mail fraudolenta che invita il lettore ad aprire una fattura elettronica emessa a luglio. Se si clicca sul link per scaricare la fattura, viene eseguito il download di un file Zip contenente un'immagine in formato PNG e un collegamento LNK. Cliccando sul file LNK viene eseguito il codice malevolo vero e proprio. La caratteristica che rende questo attacco capace di superare numerosi, se non addirittura la maggior parte, dei controlli antivirus delle caselle postali, sta nel fatto che il collegamento LNK, contenente il codice malevolo, è nascosto, e quindi protetto, nel file ZIP. Tale codice procede al download di altri file, che riescono a rubare informazioni sui dispositivi infettati. 

I codici negativi sono capaci di raccogliere informazioni sul computer dell'utente, come i dati della connessione internet o le applicazioni utilizzate, e eseguono periodicamente degli screenshot del desktop. I dati raccolti vengono trasmessi ai server degli hacker, che rispondono inviando nuovi file e nuove porzioni di codice malevolo per un controllo sempre più invasivo e completo.

Il secondo attacco, reso noto dal CERT-PA, consiste nella diffusione del Torjan Danabot. Le modalità sono molto simili a quelle già descritte: l'ignaro utente troverà nella sua casella di posta elettronica una fattura, in questo caso datata novembre 2018. Cliccando sul link, viene scaricato un file compresso in formato Rar. All'interno vi è uno script che, appena viene eseguito, scarica il virus sul PC. Il malware è capace, inoltre, di  attivarsi ad ogni avvio del PC, così da combattere un'eventuale scansione antivirus.

Il Trojan sottrae agli utenti che sono stati attaccati le credenziali di sistema, quelle del browser e quelle del client e-mail e, per concludere, l?accesso remoto al PC tramite i sistemi VNC e RDP.

Come fare, quindi, a proteggere il proprio PC e i propri dati da queste sofisticate campagne di cyberspionaggio? In primis vi invitiamo a verificare sempre, con attenzione, la veridicità del messaggio ricevuto e dei mittenti e, laddove si tratti di truffe, di cancellare immediatamente tali email. Evitate, quindi, di cliccare su link sospetti se l'indirizzo da cui ricevete la fattura non è tra i vostri contatti.  Per qualsiasi dubbio in merito, non esitate a contattare il nostro servizio di supporto.