Individuata una pericolosa campagna cybercrime basata su email malevole. Il malware trojan/banking si sta diffondendo in allegato a un messaggio che finge di provenire da DHL
Yoroi, ha individuato una pericolosa
campagna di
cyber-crime basata su ondate di email malevole. I messaggi fraudolenti sono appositamente creati dagli attaccanti al fine di simulare ipotetiche spedizioni in gestione presso il corriere “
DHL”: in allegato al messaggio è presente un archivio compresso - formato RAR - contenente uno script eseguibile in grado di installare malware all’interno della macchina vittima.
“In questo ultimo periodo stiamo assistendo a un massiccio ritorno dello spam e al suo utilizzo come vettore di infezioni di malware,” commenta
Marco Testi, Sales & Marketing Director di Yoroi. “La diffusione dell’e-commerce su larga scala, poi, semplifica il lavoro di social engineering che via email può colpire nel mucchio e arrivare a persone che stanno sicuramente aspettando una consegna dal corriere utilizzato per creare l’esca. Per questo invitiamo tutti a una maggiore consapevolezza prima di aprire qualsiasi messaggio arrivi nella nostra casella di posta elettronica.” L’e-mail si presenta con le seguenti caratteristiche:
- Oggetto:
- “Info spedizione DHL Express”
- “VS SPEDIZIONE DHL AWB 579938727 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”
- “VS SPEDIZIONE DHL AWB 7309283792 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”
- Mittente:
- "Dhl service" <smtp @festaidea .it>
- "DHL-track" <pasquale.ruggiero @virgilio .it>
- "DHL-mail" <lba.snc @libero .it>
- "Dhl package" <silfer_snc @virgilio .it>
Le analisi svolte dai ricercatori Yoroi hanno ricondotto il malware installato a varianti della famiglia
Gozi, di tipologia
Trojan/Banking, in grado di
trafugare dati e digitazioni relative alle attività dall’utente, fornire accesso all’host vittima e intercettare credenziali utilizzate all’interno di portali web. La variante analizzata, inoltre, è in grado di rimanere persistente all’interno dell’host bersaglio dove, ad ogni riavvio, il codice del malware viene iniettato all’interno di processi legittimi in esecuzione
infettandoli al fine di nascondere la propria presenza all’interno dell’ospite. Il malware, in seguito, scarica moduli aggiuntivi e instaura canali di comunicazione verso
server di comando sulla rete anonima TOR.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.