I ricercatori di Proofpoint hanno rilevato un nuovo trend, denominato “IcedID”, in cui malware simili vengono utilizzati in modo sinergico per convincere gli utenti che i siti che visitano facciano realmente riferimento ai loro istituti finanziari.
Le aziende specializzate in sicurezza continuano a migliorare le tecniche di rilevazione del malware, riducendo il numero di potenziali vittime. Allo stesso tempo però, i creatori di minacce stanno raddoppiando gli sforzi e utilizzando strumenti simili per colpire gli utenti.
IcedID viene inviato via email come un documento Word che contiene macro. Se viene aperto e si attivano le macro, IcedID verrà installato e procederà con l’implementazione di Trickbot o The Trick per raddoppiare le possibilità di colpire gli utenti. IcedID e Trickbot si attivano quando una vittima apre un browser web e naviga sul sito della propria banca. Questi due trojan bancari si connettono alla banca, ma portano in realtà l’utente su un sito fittizio per raccogliere le credenziali di accesso.
Non solo il sito sembrerà legittimo, ma anche l’URL e i certificati di sicurezza della banca saranno gli stessi agli occhi dell’utente. Senza essere consapevoli della compromissione delle credenziali, si corre il rischio di perdere tutti i risparmi.
Un’altra minaccia che ha attirato l’attenzione di Proofpoint è stata Chalbhai, utilizzata per attività di phishing. Molti vendor di sicurezza la stanno sottovalutando e Proofpoint ha cercato di caprine il perché.
La truffa phishing avviene con l’invio di email a utenti che vengono incoraggiati a visitare siti di aziende note, tra cui Wells Fargo, Bank of America, One Drive e Outlook Web App. I cybercriminali approfittano della paura e dell’istinto dei clienti per incoraggiarli ad aprire i link e inserire le proprie credenziali, così da poter prelevare dai loro conti eventuali somme di denaro o sferrare attacchi secondari grazie all’accesso diretto ai servizi delle vittime.
A cura Di Neil Glick, technical marketing engineer di Proofpoint
