Gli analisti di Yoroi hanno rilevato una nuova ondata di email fraudolente, ai danni di utenti italiani, da parte di mittenti potenzialmente compromessi, contenenti richieste d’ordine fittizie o moduli F24 fasulli.
I messaggi malevoli contengono documenti Excel in grado di scaricare malware della famiglia Zeus/Panda, configurato per esfiltrare informazioni dall’host vittima (cookie di sessione, password, form web, certificati) ed intercettare credenziali e sessioni utente presso istituti bancari o finanziari quali: BNL, CEDACRI, BPER, FINECO, CARIGE, INBANK, INTESA SANPAOLO, POSTE, QUERCIA.
L’e-mail si presenta con le seguenti caratteristiche:
- Oggetto:
- conferma d’ordine
- ordine in allegato
- conferma d’ordine in allegato 16/04
- in allegato troverete la conferma d’ordine
- conferma d’ordine in allegato
- Conferma d’ordine in allegato
- 16/04/2018 conferma d’ordine in allegato
- ordine aprile
- conferma e accettazione ordine
- f24
- Allegato:
- Ordine del 16-04-2018 – Documento .xls (o similare)
- f24_.xls (o similare)
- Mittenti:
- utenze potenzialmente compromesse (@ alice.it aliceposta.it arubamail.it czrrz.191.it email.it fastwebnet.it hotmail.it icloud.com inwind.it istruzione.it ktdtz.191.it legalmail.it libero.it outlook.it pec.it tim.it tin.it tiscali.it yahoo.it)
All’interno dell’Annual Security Report recentemente annunciato da Yoroi, viene evidenziato come la prima tipologia di file portatrice di malware siano i file “Office” con estensioni come .xls, .xlsm, xlst, .doc, .docx, .docm, e altre.
Yoroi consiglia di mantenere alto il livello di guardia all’interno delle aziende, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Oltre a questo è essenziale mantenere elevato il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
