Il CERT-PA ha rilevato una nuova campagna di malspam volta a colpire utenze nel nostro paese. Le aggressioni informatiche sono finalizzate a diffondere il malware Ursnif, un trojan bancario, tramite documenti .xls armati di macro malevola: il messaggio sembra provenire da una casella del dominio “istruzione.it” ma, dal controllo delle intestazioni, si evince che i cyber criminali si stanno avvalendo di tecniche di “spoofing” per nascondere il reale mittente e utilizzare un dominio di posta più familiare. La catena d’infezione si sviluppa tramite l’interazione dell’utente con il documento, in quanto è indotto a dare il consenso alla modifica del documento (modalità compatibilità). L’azione determina l’esecuzione di comandi Windows per prelevare malware da una risorsa internet appositamente creata per ospitare carichi malevoli (payload) e installarli sul sistema della vittima.
I cyber attacchi hanno preso di mira diversi soggetti con l’obiettivo di sottrarre alle vittime credenziali di posta elettronica, di piattaforme di cloud storage e di siti di e-commerce. Il CERT-PA, a proposito, aveva spiegato che, nella maggior parte delle occasioni, le campagne di attacco hanno visto utilizzare documenti Office dotati di macro malevole e tecniche, tra cui il social engineering. Queste sono finalizzate a convincere l’utente destinatario che il messaggio ricevuto potesse, almeno in prima battuta, ritenersi attendibile e quindi invitarlo a validare il contenuto protetto dei documenti per la corretta visualizzazione. Attraverso queste ondate di malspam si è notato in particolare l’uso di allegati MS Word dal nome “Richiesta.doc” o del tipo “[Nome_Azienda]_Richiesta.doc”.
L’uso di questo malware contro bersagli in Italia era emerso in varie occasioni, dunque, la campagna malspam appena scoperta, non è detto che sia nuova. Potrebbe essere l’evoluzione dei cyber attacchi originali con nuove esche. Il malware, infatti, è sempre lo stesso. Gli esperti di sicurezza informatica hanno avvisato che i cyber aggressori cambiano la tipologia di allegati per inoculare il malware e la vittima non è in grado di sapere se ha inviato spam dalla sua mail.