La psicosi del coronavirus non risparmia i sistemi di posta elettronica. Alle ore 11:00 di ieri (lunedì 10 febbraio) e con trend crescente nelle ore a seguire, Libraesva ha identificato una nuova forma di campagna di email phishing, che per la prima si presenta volta nel panorama delle minacce informatiche trasmesse via email tra mittenti e destinatari italiani.
La nuova forma di phishing appena riscontrata e analizzata dagli esperti degli ESVALabs si presenta sotto forma di lettera a firma del rettore dell’Università degli Studi di Milano. Il mittente della mail è però dell’Ateneo di Bologna (con ogni probabilità compromesso) che la invia a tappeto a una moltitudine di indirizzi email tra cui gli stessi dell’Università Statale di Milano.
L’email dei primi casi intercettati ha come oggetto ‘Aggiornamento sul romanzo Coronavirus(2019-nCov)’ e ha come obiettivo primario quello di fare aprire ai destinatari un allegato word con contenuti di approfondimento (si veda allegato).
Una volta selezionato il file, gli hacker indirizzano il malcapitato utente a una finestra che invita ad avvalersi di un lettore PDF di Microsoft:
Quando si clicca poi su questa schermata, si atterra sul sito di phishing reale, che sembra persino autorizzato dalla stessa Microsoft di cui ne riporta il logo:
Quando l’utente clicca su “Download File”, si apre il modulo di richiesta di credenziali – in questo caso degli account dell’Università -, che rappresentano cioè l’obiettivo finale degli autori di questa forma di campagna phishing:
Il commento a caldo di Libraesva
Entrambi gli Atenei italiani sono stati prontamente informati per poter attuare tutte le procedure di sicurezza e di informazione interna necessarie a contenere i danni di questo tentativo massiccio di data-breach.
“Siamo di fronte alla conferma, una volta di più, di come gli hacker siano disposti a usare indiscriminatamente ogni contenuto di interesse di massa, oltre che di importanza per la comunità scientifica come in questo caso specifico, per propagare campagne malevoli mirate al furto di credenziali dichiara Paolo Frizzi, ceo di Libraesva che insieme ai suoi esperti sta monitorando la situazione e la sua evoluzione sin dalla prima apparizione. Dalle 11 di stamane ad adesso abbiamo intercettato e messo in quarantena una quantità di email purtroppo crescente. Temiamo che il tema di maggiore attualità e diritto informativo quale è il Coronavirus sarà sfruttato in maniera esponenziale dai criminali malintenzionati per perpetrare attacchi non solo ad Università ma anche ad enti e istituti di ricerca o anche sanitari, aziende e amministrazioni pubbliche oltre che ad utenti finali. Invitiamo tutti i reparti IT, oltre che gli utenti stessi, a porre la massima attenzione nei confronti di email riguardanti il virus, evitando di fare click su eventuali allegati o anche solo su link presenti nei corpi delle email ed evitare così di attivare codice malevolo nascosto o perdita di dati e credenziali.”