Gli spammer inviano miliardi di e-mail al giorno. Si tratta per lo più di pubblicità comune, certamente seccante ma in generale innocua. Tuttavia, ogni tanto a una di queste e-mail viene allegato un file dannoso.
Per invogliare il destinatario ad aprire il file pericoloso, di solito viene “mascherato” da qualcosa di interessante, utile o importante come un documento di lavoro, una grande offerta, un buono regalo su cui è presente in bella vista il logo di un’azienda rinomata etc.
I cybercriminali hanno i propri formati “preferiti” e in questo post analizzeremo i tipi di file che, durante quest’anno ancora in corso, hanno celato malware con maggiore frequenza.
1. File ZIP e RAR
I cybercriminali amano nascondere i propri malware all’interno di altri file. Ad esempio, i file ZIP dal nome Love_You0891 (il numero può cambiare), sono stati utilizzati per diffondere il ransomware GandCrab alla vigilia del giorno di San Valentino. Un paio di settimane dopo la ricorrenza, altri scammer hanno inviato file contenenti il Trojan Qbot, specializzato nel furto di dati.
Quest’anno, poi, abbiamo scoperto un’interessante funzionalità di WinRAR. Quando si crea un file, sembra che si possano creare delle regole per decomprimere il contenuto e salvarlo all’interno della cartella di sistema. In particolare, il contenuto può essere salvato nella cartella di avvio di Windows, il che porta alla loro attivazione all’avvio successivo del sistema. Per questo motivo, consigliamo agli utenti di WinRAR di aggiornare immediatamente il programma per risolvere questo problema.
2. Documenti di Microsoft Office
Anche i file di Microsoft Office, soprattutto documenti Word (DOC, DOCX), fogli di lavoro di Excel (XLS, XLSX, XLSM), presentazioni e template sono molto popolari tra i cybercriminali. Questi file, infatti, comprendono macro, ovvero dei piccoli programmi che funzionano nel file, e i cybercriminali sfruttano le macro come script per scaricare i malware.
La maggior parte delle volte, questi allegati hanno come obiettivo chi lavora in ufficio: i file pericolosi non sembrano altro che contratti, fatture, messaggi dell’Agenzia delle Entrate o avvisi urgenti da parte di un superiore. Ad esempio, proprio nel nostro paese, il Trojan bancario Ursnif ha mietuto molte vittime e si è diffuso sotto le mentite spoglie di una notifica di pagamento. Se la vittima apriva il file e accettava l’attivazione delle macro (disattivate di default per ragioni di sicurezza), il Trojan veniva scaricato sul computer.
3. File PDF
In molti sono consapevoli dei pericoli delle macro nei documenti di Microsoft Office ma spesso non si conoscono le trappole insidiose che possono celare i file PDF, tra cui anche malware. I cybercriminali possono utilizzare questo formato per creare e avviare file JavaScript.
Inoltre, ai cybercriminali piace molto nascondere link di phishing all’interno di documenti PDF. Ad esempio, durante una campagna di spam, i truffatori hanno incoraggiato gli utenti a dirigersi a una pagina “sicura” dove veniva chiesto loro di collegarsi al loro account di American Express. Ovviamente, queste credenziali di accesso sono andate a finire immediatamente nelle mani degli scammer.
4. Immagini disco ISO e IMG
Rispetto alle tipologie di allegati che abbiamo descritto finora, i file ISO e IMG non vengono utilizzati così spesso. I cyberciminali si sono concentrati un po’ in ritardo e progressivamente su questi file; le immagini disco sono praticamente una copia virtuale di un CD, DVD o di un altro disco.
L’immagine disco viene utilizzata per diffondere i malware sui computer delle vittime come il Trojan Agent Tesla, specializzato nel furto di credenziali di accesso. All’interno dell’immagine si trovava un file eseguibile dannoso che, se scaricato, attivava e installava lo spyware sul dispositivo. La cosa curiosa è che, in alcuni casi, i cybercriminali hanno utilizzato due allegati (un file ISO e uno DOC), sembrerebbe per sicurezza.
Come gestire i file potenzialmente pericolosi
Passare tutte le e-mail con allegati documenti DOCX/PDF alla cartella di spam non sembra essere una strategia adeguata. Per farla in barba agli scammer, invece, ricordate queste semplici regole:
- Non aprite e-mail sospette provenienti da indirizzi sconosciuti. Se non sapete come mai quel particolare messaggio si trovi nella vostra casella di posta in entrata, molto probabilmente non è nulla che vi riguardi e di cui abbiate bisogno;
- Se per il lavoro che svolgete, siete soliti ricevere e-mail da mittenti sconosciuti, verificate sempre con molta attenzione l’indirizzo di chi vi manda il messaggio e il nome dell’allegato. Se qualcosa non vi torna, meglio non aprire nulla;
- Non consentite l’attivazione delle macro su documenti ricevuti via e-mail (a meno che il vostro lavoro non lo richieda);
- Trattate con cautela tutti i link presenti all’interno dei file. Se non vi sembra logico la richiesta di seguire un determinato link, ignoratela; viceversa, se ritenete di dover cliccare sul link in questione, meglio digitare manualmente l’indirizzo sul browser;
- Avvaletevi di una soluzione di sicurezza affidabile che vi informi della presenza di file pericolosi e che li blocchi. Inoltre, vi avvertirà per tempo nel caso proviate a visitare un sito sospetto.