Trojan bancari

Trojan bancari in un wrapper aziendale

Gli spammer stanno usando macro dannose per distribuire malware bancari IcedID e Qbot in documenti apparentemente importanti.

Julia Glazova
12 Lug 2021

Per gli impiegati che devono gestire centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico può essere forte. I criminali informatici, naturalmente, se ne approfittano e inviano documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, da link di phishing a malware. I nostri esperti hanno recentemente scoperto due campagne di spam molto simili che distribuiscono i Trojan bancari IcedID e Qbot.

Spam con documenti dannosi

Entrambe le e-mail sembravano della normale corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per un qualche motivo (fraudolento) o menzionavano l’annullamento di un’operazione. Allegato al messaggio c’era un file Excel in formato zip chiamato CompensationClaim più una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web hackerato dove si trovava l’archivio contenente il documento.

In entrambi i casi, l’obiettivo dei cybercriminali era quello di convincere il destinatario ad aprire il file Excel dannoso e a eseguire la macro in esso contenuta, scaricando così il Trojan IcedID (o talvolta Qbot) sul dispositivo della vittima.

IcedID e Qbot

I Trojan bancari IcedID e Qbot sono in circolazione da anni; IcedID ha attirato per la prima volta l’attenzione dei ricercatori nel 2017 e Qbot è invece attivo dal 2008. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un’immagine PNG utilizzando una tecnica chiamata steganografia, che è piuttosto difficile da rilevare.

Oggi, entrambi i programmi malware sono disponibili sui mercati nascosti; oltre ai loro creatori, ci sono numerosi client che distribuiscono i Trojan. Il compito principale del malware è quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:

Inserire uno script dannoso in una pagina web per intercettare i dati digitati dall’utente;
Reindirizzare gli utenti dell’home banking a una falsa pagina di login;
Rubare i dati salvati nel browser.

Qbot può anche registrare le sequenze di tasti per intercettare le password.

Purtroppo, il furto dei dati di pagamento non è l’unico problema che devono affrontare le vittime. Per esempio, IcedID può scaricare altri malware, incluso ransomware, sui dispositivi infetti. Nel frattempo, i trucchi di Qbot includono il furto di thread di e-mail da utilizzare in ulteriori campagne di spam, e fornire ai cybercriminali l’accesso remoto ai computer delle vittime. Le conseguenze possono essere gravi, soprattutto per i dispositivi aziendali.

Come proteggersi dai Trojan bancari

Non importa quanto astuti possano essere i criminali informatici, non è necessario reinventare la ruota per restare al sicuro. Entrambe le campagne di spam in questione si basano sul fatto che i destinatari compiano azioni rischiose; se, invece, non apriranno il file dannoso e non lasceranno eseguire la macro, questa tattica semplicemente non funzionerà. Per ridurre le possibilità di cadere nella trappola:

Controllate l’identità del mittente, incluso il nome di dominio. Qualcuno che afferma di essere un appaltatore o un cliente aziendale ma usa un indirizzo Gmail, per esempio, può essere sospetto. E se semplicemente non sapete chi è il mittente, controllate insieme ai colleghi;
Proibite di default le macro e trattate con sospetto i documenti che richiedono di abilitare le macro o altri contenuti. Non eseguite mai una macro a meno che non siate assolutamente sicuri che il file ne abbia bisogno, e che il documento sia sicuro;
Installate una soluzione di sicurezza affidabile. Se utilizzate un dispositivo personale, o il vostro datore di lavoro è poco rigoroso quando si tratta di protezione della workstation, assicuratevi che i dispositivi siano protetti. Le nostre soluzioni rilevano sia IcedID, sia Qbot.

PrintNightmare, nuova vulnerabilità all’interno di Windows Print Spooler

Aggiornate immediatamente tutti i sistemi Windows per applicare la patch per le vulnerabilità CVE-2021-1675 e CVE-2021-34527 nel servizio Windows Print Spooler.

Privacy e bambini

Trojan bancari in un wrapper aziendale

Spam con documenti dannosi

IcedID e Qbot

Come proteggersi dai Trojan bancari

Come (non) giocare ai carri armati e infilarsi in una backdoor

Come è stato possibile monitorare milioni di Kia

PrintNightmare, nuova vulnerabilità all’interno di Windows Print Spooler

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia