CSIRT Italia ha recentemente individuato una nuova tattica di diffusione di malware tramite campagne di malspam incentrate su OneDrive.
Il messaggio, redatto in italiano, invita i destinatari ad aprire un allegato in formato .ZIP contenente un file HTML. Una volta aperto, il file HTML simula una pagina riportante loghi e riferimenti riconducibili al servizio OneDrive.
Dopo un breve caricamento, la pagina HTML visualizza un messaggio di errore che avvisa l’utente della presunta impossibilità di visualizzare un documento a causa di un errore e un pulsante che invita l’utente a visionare le modalità di risoluzione del problema.
Cliccando sul pulsante, vengono fornite istruzioni da eseguire, che consistono nell’aprire una console Powershell e premere con il tasto destro del mouse all’interno della finestra del terminale. Questo tasto, “Come risolvere”, copia all’interno della clipboard uno script il cui contenuto viene incollato ed eseguito automaticamente da Powershell, consentendo il download e l’esecuzione automatica del malware da una fonte remota.
Misure di mitigazione
Per far fronte a questa tipologia di attacchi, il CSIRT consiglia ali utenti e alle organizzazioni di verificare scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam, diffidando da comunicazioni inattese;
- verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
- evitare di eseguire manualmente istruzioni fornite sorgenti di dubbia provenienza e contattare il proprio comparto IT in caso di problemi/errori di carattere informatico.
