Il malware della fattura elettronica colpisce aziende e PA: come difendersi

Una massiccia campagna di malspam sta diffondendo una variante del banking trojan Ursnif: le e-mail malevoli contengono un file Excel con riferimenti ad una presunta fattura elettronica e hanno come obiettivo aziende e pubbliche amministrazioni italiane. I consigli per non cadere in questa trappola

Gli analisti dei laboratori di ricerca Yoroi hanno individuato una nuova campagna di malspam che sta colpendo massicciamente aziende e pubbliche amministrazioni italiane. I testi delle email malevole sono personalizzati utilizzando contenuti di tipo amministrativo con riferimenti ai nuovi obblighi di fatturazione elettronica.

I messaggi fraudolenti presentano in allegato un foglio di calcolo Excel che, se aperto, infetta la vittima con una nuova variante del banking trojan della famiglia Ursnif. Questo pericoloso malware è in grado di rubare dati personali dell’utente, intercettare le sue attività e installare una backdoor per il controllo da remoto del computer infetto.

La particolarità di questa nuova minaccia è che i contenuti dei fogli Excel sono stati realizzati per colpire espressamente le utenze italiane: il codice macro malevolo al loro interno viene infatti attivato solo se il pacchetto della suite Office installato sul computer della vittima è configurato per utilizzare la lingua italiana.

 Il malware della fattura elettronica: l’analisi tecnica

Come già successo in passato con le altre varianti del banking trojan Ursnif, anche questo nuovo malware della fattura elettronica utilizza una sofisticata tecnica steganografica per reperire il codice PowerShell malevolo necessario per eseguire le sue operazioni malevoli.

La steganografia, lo ricordiamo, è un’antica tecnica utilizzata per camuffare le comunicazioni, prevalentemente di tipo militare, tra due interlocutori. In campo informatico, questa tecnica è stata adattata per nascondere informazioni all’interno di un file che può essere un documento, un’immagine o un file audio. L’header di questi file non viene ovviamente compromesso, consentendone la normale visualizzazione mediante un editor di testo, un visualizzatore di immagini o un player multimediale; ma con un apposito scanner (il più delle volte si tratta di un semplice editor esadecimale capace di visualizzare il codice sorgente dei file) è possibile “leggere” le sequenze di bit che contengono le informazioni nascoste.

Il malware della fattura elettronica fa proprio questo. Analizzando il codice dell’e-mail fraudolenta si nota, infatti, un’immagine apparentemente innocua di Super Mario, il famoso personaggio dei videogiochi. In realtà, le prime righe del codice binario di questa immagine nascondono proprio le istruzioni per avviare la catena infettiva che il malware riesce ad intercettare e “leggere” dopo aver eseguito una scansione dell’immagine stessa. Il problema è che, a volte, queste immagini sono così piccole da passare inosservate ad un occhio distratto, magari perché la vittima è presa dai mille impegni lavorativi.

Ottenute le istruzioni necessarie per compiere la sua azione infettiva, il malware attende solo che l’ignara vittima apra il foglio elettronico in allegato all’email fraudolenta per installarsi nel suo computer, rubare informazioni personali e attivare una backdoor che può consentire ai criminal hacker l’accesso da remoto del PC.

(...)

(Autore Paolo Tarsitano eiler, tratto da cybergsecurity360.it)