Attacchi hacker in Italia: occhio ai file nascosti nelle mail sospette

Un’azienda di sicurezza informatica ha rilevato un ennesimo attacco di hacker in Italia. Sono infatti in corso due attacchi diretti al nostro paese. Gli obiettivi principali, ma non gli unici, sembrano essere principalmente le caselle e-mail.

Gli attacchi avverrebbero tramite e-mail infettate da virus, in grado di rubare i dati sensibili dal nostro computer. Le autorità non hanno ancora individuato i cyber criminali che ne sono responsabili.

Due attacchi hacker in contemporanea SLoad-ITA e Trojan Danabot

Inizialmente l’allarme è stato dato dalla società di sicurezze informatica Yoroi, e successivamente confermato dal Computer Emergency Response Team della Presidenza del Consiglio dei Ministri per la Pubblica Amministrazione (CERT-PA).

Il primo attacco, chiamato SLoad-ITA, consisterebbe nella versione italiana di uno già effettuato a maggio in Inghilterra. Avrebbe già infettato milioni di casella mail dal 10 Novembre ad oggi, con un picco massimo tra il 19 ed il 24 Novembre.

Per quanto riguarda il secondo, il CERT-PA lo ha comunicato il 28 Novembre. Riguarda la diffusione del Torjan Danabot, che sembra abbia raggiunto la prima casella mail il 27 Novembre.

In che cosa consistono questi attacchi hacker

Per quanto riguarda l’attacco SLoad-ITA, avviene in modo molto classico. Riceviamo una mail con un link per scaricare una fantomatica fattura elettronica, datata a luglio 2018. Aprendo il link scarichiamo un file ZIP che contiene un immagine in PNG ed un collegamento LNK. Cliccando su quest’ultimo finiremo con l’eseguire il codice malevolo nascosto nel precedente file ZIP. In questo modo l’attacco riesce ad eludere i controlli di molti antivirus. Il codice procede poi al download di altri file che nasconderà sul computer e che in seguito provvederanno a rubare le informazioni.

Il Trojan Danabot attacca in modo molto simile all’altro. A differenza di SLoad-ITA, in la fattura fittizia riporta la data di Novembre 2018, ed il file scaricato è Rar e non ZIP. Dentro quest’ultimo è contenuto uno script che scarica sul PC il Trojan Danabot. Successivamente programma l’esecuzione del malware ad ogni riavvio, così da eludere le scansioni dell’antivirus.

A rischio i nostri dati e le nostre credenziali di sistema

Vediamo ora che tipo di dati ci vengono sottratti. Sload-ITA registra le informazioni delle applicazioni che usiamo, i dati sulla connessione ed esegue screenshot periodici del desktop. Provvede poi ad inviare tutte queste informazioni agli hacker.

Il Trojan Danabot, sottrae invece le credenziali di sistema, quelle del browser e del client di posta, ottenendo infine l’accesso remoto al nostro PC.

Attenzione alle e-mail sospette

Questi sistemi sono particolarmente abili nell’eludere antivirus ed antispam. Per ora quindi la migliore precauzione che possiamo prendere per difenderci da questi attacchi, rimane quella di essere vigili. Controlliamo bene gli indirizzi, se una fattura ci arriva da una mail sconosciuta, o se vi sembra sospetta, meglio cestinarla. Se aspettate realmente dei documenti di questo tipo, contattate chi deve inviarveli e fatevi dare tutte le informazioni necessarie per distinguerla da una falsa.