E-mail con un link dannoso

Quando si parla di furto di credenziali, i primi a essere menzionati sono i messaggi di posta elettronica con link di phishing. Tuttavia, questi messaggi rappresentano solo un mezzo per ottenere nomi utente e password di vari servizi online. I truffatori inviano regolarmente anche link a spyware. Un trucco che usano per mascherare questi link è includere un’immagine che sembra essere un allegato.

E-mail con un link dannoso

Oggi esaminiamo un attacco e-mail mirato. I criminali informatici in questione hanno reso la loro e-mail credibile, inviando una richiesta di preventivo a un fornitore di servizi e attrezzature industriali, con linee guida allegate.

Le industrie ricevono tali richieste abbastanza spesso, e gli account manager in genere aprono il documento delle linee guida e preparano una proposta, sorvolando su eventuali piccole discrepanze, come la non corrispondenza tra il nome di dominio e la firma del mittente. Quello che ci interessa, qui, è come i criminali informatici convincano i destinatari a eseguire il malware. Ecco come appare l’e-mail.

Una e-mail con un link a un malware.

Vedete il PDF in allegato? Beh, quello che state guardando non è affatto un allegato. Outlook visualizza gli allegati di posta elettronica in questo modo, ma ci sono alcune differenze:

• L’icona dell’allegato dovrebbe corrispondere all’applicazione associata ai file PDF nel vostro sistema. Se non è così, allora o non è un allegato o ciò che è allegato non è un file PDF;
• Quando fate passare il mouse su un vero allegato, dovreste visualizzare dettagli sul file come nome, tipo o dimensione. Non dovreste invece vedere un link a un qualche sito web sospetto;
• La freccia accanto al nome del file dovrebbe essere evidenziata e funzionare come un pulsante che porta a un menu contestuale;
• L’allegato dovrebbe apparire in un blocco separato, non nel corpo dell’e-mail, più o meno così:

Allegato PDF autentico

In effetti, questo oggetto mascherato da allegato PDF è solo una normale immagine. Se provate a selezionare parti del messaggio con il vostro mouse o usando Ctrl-A per selezionare tutto, ve ne renderete conto facilmente.

Un’immagine che si presenta come un allegato PDF.

L’immagine nasconde un collegamento a un programma dannoso. Cliccando sul link si scarica un Trojan spyware.

Attacco payload

In questo caso particolare, il link dannoso rimandava a un file dal nome Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, che conteneva un loader per un Trojan che Kaspersky identifica come Trojan-Spy.Win32.Noon, ovvero un Trojan spyware abbastanza comune. Noto dal 2017, permette ai criminali informatici di rubare password e altre informazioni dai moduli.

Come difendersi

Per evitare che i Trojan spyware danneggino la vostra azienda, installate una soluzione di sicurezza affidabile su ogni dispositivo con accesso a Internet per impedire l’esecuzione dei malware.

Inoltre, formate adeguatamente i vostri dipendenti affinché riescano a individuare i trucchi che i criminali informatici utilizzano nelle loro e-mail.