Fra la seconda metà del 2018 e l'inizio del 2019 le minacce informatiche hanno messo a dura prova le aziende. Ecco le minacce più consistenti che sono state recapitate via mail e che spesso passano indenni ai controlli antivirus.
Gootkit, Zeus-Panda, Ursnif, SLoad e Ave_Maria non sono i nomi di cinque super eroi, ma di altrettanti pericolosi virus che secondo gli esperti di sicurezza di Yoroi stanno flagellando il Belpaese. Natura e obiettivi sono differenti, ma la finalità criminosa è il comune denominatore, insieme al metodo di diffusione: tutte queste minacce arrivano sui PC via mail. Spesso gli antivirus non sono in grado di identificarli e bloccarli, quindi il consiglio è di prestare la massima attenzione agli allegati che si ricevono. Meglio non aprire file inaspettati, o provenienti da mittenti sconosciuti.
Gootkit è un trojan, ossia il virus che si installa nel computer e permette agli hacker di prenderne il controllo svolgendo potenzialmente qualsiasi tipo di operazione da remoto. È in circolazione da tempo e ha imperversato nel 2018. Viene recapitato al mittente tramite mail (spesso e volentieri PEC) indirizzate quasi sempre a organizzazioni e pubblica amministrazione. Come riporta Yoroi, i messaggi di posta simulano risposte a richieste di preventivo, invitandoli in seguito allo scaricamento di ulteriori file attraverso appositi link inseriti nel corpo della comunicazione. I file scaricati a seguito dell’apertura del link contengono vari documenti innocui inseriti dall’attaccante per deviare eventuali sospetti da parte degli utenti. Tuttavia, uno dei file contenuti negli archivi compressi è uno script eseguibile in grado di scaricare e installare un impianto malware della famiglia Gootkit, che intercetta le comunicazioni effettuate dal PC infetto.
L’altra minaccia è costituita da Zeus/Panda, che tanto per cambiare arriva nel PC tramite messaggi di posta elettronica. S’impossessa delle credenziali bancarie, in particolare quelle per accedere ai portali di home banking di Intesa San Paolo, BNL, BancoPosta e una lunga serie d’istituti elencati a questa pagina. In genere il contagio avviene tramite file di Word o Excel allegati. Anche qui, la migliore difesa è la massima attenzione nell’apertura degli allegati.
La minaccia maggiore del momento tuttavia è Ursnif, un malware noto anche come Gozi ISFB. Anche se il nome sembra innocuo è una pericolosa variante di un malware che circola dal 2014 e che si è evoluto nel tempo assumendo nuovi “poteri”. Ora, oltre a rubare le credenziali bancarie, è anche in grado di raccogliere sequenze di tasti, schermate, webmail, e altro. Un campione individuato nel 2019 vanta tecniche di mascheramento molto evolute, che ne rendono molto difficile l’individuazione.
Un altro ritorno dal passato è SLoad, che crea un “ingresso secondario” per far uscire criminosamente dal computer tutto quello che l’utente digita. Passa spesso indenne ai controlli antivirus, inoltre cattura schermate che consegnano ai criminali importanti informazioni sulle attività dell’utente. Come se non bastasse, può essere il veicolo d’infezione per altri contenuti malevoli, come ad esempio il sopraccitato Gootkit.
Della serie non fatevi ingannare da nomi angelici, l’ultimo virus di questa rassegna è stato battezzato Ave_Maria, e non ha nulla a che vedere con la preghiera. Prende di mira soprattutto le aziende, e consiste in un attacco di phishing a tutti gli effetti, ossia mail che invogliano i destinatari ad aprirle. Il contenuto esca è una fattura o una conferma d’ordine da parte di un inesistente fornitore, sotto forma di un file di Excel infetto mescolato con altri file “puliti”. È difficile da individuare, ma agisce decifrando le credenziali memorizzate nel browser e nella mail, oltre ad altre attività. L’ultimo attacco massivo si è verificato a gennaio 2019.