Gli esperti del CSIRT-Italia hanno individuato una campagna di malspam per distribuire il malware Lokibot contro obiettivi in Italia che utilizza come esca le false fatture a nome di una reale azienda.
Le mail di phishing in questione adoperano termini che fanno riferimento a transazioni economiche, quali fatture o pagamenti vari, invitando il destinatario ad aprire un documento allegato per confermare la potenziale emissione di denaro in fase di erogazione.
Il messaggio utilizza tecniche di spoofing del mittente e riporta fedelmente loghi e riferimenti di una nota azienda, si legge nell’avviso pubblicato dagli esperti.
“Il modus operandi fa presupporre l’utilizzo di pregresse comunicazioni che gli attaccanti sfruttano per dare maggiore credibilità alla comunicazione.
L’allegato in questione è costituito da un archivio compresso (.zip) contenente un file .iso, estensione generalmente associata a file di tipo immagine il cui utilizzo più comune è quello di essere masterizzata su supporti come CD o DVD.
In ambiente Windows 10, l’esecuzione di tale estensione determina l’apertura automatica del file sotto forma di volume virtuale, mostrandone il contenuto in sola lettura, che nel caso specifico è un file .exe anch’esso riportante il nome dell’azienda indebitamente coinvolta.
L’eseguibile malevolo, se azionato dall’utente, avvia la catena di infezione del sistema in riferimento al malware Lokibot, il quale provvederà a contattare una risorsa remota, definita nel dominio C2 x2z6c[.]xyz, registrato circa un mese fa, richiamando una risorsa “.php”.”, si legge nell’avviso.
Sullo stesso dominio risiede un’area riservata, presumibilmente utilizzata dagli attori malevoli per consultare le informazioni ricevute dal malware. LokiBot è noto, infatti, per le sue abilità a carpire dati da un numero rilevante di programmi d’uso comune. È un trojan bancario con capacità keylogger in grado di rubare vari tipi di credenziali.
Azioni consigliate
“Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing; diffidando in particolare dalle comunicazioni non attese che invitano ad aprire allegati in riferimento a transazioni economiche, fatture o verifiche di pagamento;
- ove possibile implementare filtri nel gateway di posta elettronica per bloccare, se non necessario, gli allegati di posta elettronica costituiti da allegati associati ad estensioni non comuni (.iso) o generalmente associate a malware (.dll, e .exe);
- valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) forniti in allegato.”
