Il cybercrime ha utilizzato l’Università degli Studi di Roma “La Sapienza” come esca per diffondere il malware Lokibot, in grado di rubare le password da un lungo elenco di programmi, diffondendo una e-mail – con documento PowerPoint che veicola il malware – che all’apparenza sembra provenire dall’Ateneo.
La campagna malspam è stata scoperta dagli esperti di cyber security del CERT-AgID.
La scelta del mittente del messaggio è ricaduta su admin@uniroma1.it, rendendo la comunicazione più verosimile, quando in realtà risulta inviata da dominio kamarakis.gr. L’avvio della catena di infezione è demandata a un documento PowerPoint RICHIEDI OFFERTA 21-7-2020.ppt che effettua, tramite una serie di download, l’esecuzione del codice malevolo.
L’obiettivo è quello di massimizzare la diffusione del malware per rubare quante più password sensibili. Per veicolare Lokibot, infatti, è stato utilizzato PowerPoint, un tipo di allegato presente raramente nel panorama italiano e che perciò desta meno sospetti rispetto ai classici documenti Word o Excel. Il messaggio è comunque scritto male e i loghi/riferimenti sono contestualizzati in un layout approssimativo, così come il corpo del messaggio. i
Questi elementi, unitamente ai riferimenti all’Università di Belgrado inseriti nella parte finale dell’e-mail, sono sufficienti a smascherare la natura malevola del messaggio. L’utilizzo di un documento PowerPoint per veicolare malware è stato visto raramente nel panorama italiano, tuttavia non vi sono motivi tecnici dietro la scelta (i file MS Office presentano lo stesso formato, come contenitori), ma sono da prediligersi i fattori umani: in ambito lavorativo un documento Word o Excel è meno sospetto ad un’amministrazione.
In questa particolare campagna è più utile per i criminali usare un file PowerPoint in quanto spesso usato per le presentazioni di progetti.
Dettagli tecnici al seguente link: https://cert-agid.gov.it/news/false-e-mail-della-sapienza-con-documento-powerpoint-diffonde-il-malware-lokibot/
