Gli esperti di sicurezza informatica del CERT-PA, fra i massimi esperti di sicurezza informatica e autori di costanti studi di settore volti a sensibilizzare privati e aziende sull’argomento, hanno pubblicato un approfondimento sul recente attacco di spear phishing messo in atto dal gruppo hacker Gorgon ai danni dei dispositivi di tutta Europa; l’attacco di phishing è usato come vettore per diffondere nei computer del Vecchio Continente (ma non solo) un pericoloso malware mascherato da fattura (ovviamente falsa).

L’APT, nota ormai dal 2018, ha guadagnato la sua triste fama attraverso attacchi ai terminali sia di istituzioni pubbliche sia di aziende private in tutto il mondo. Il meccanismo di attacco di questa letale infezione è tanto schematico quanto semplice e insidioso: come in altri attacchi affini recenti, viene inviata al bersaglio una mail fraudolenta con allegato un file in estensione .xlsx (di Excel) contenente una macro VBA che attiva l’infezione una volta eseguito il documento incriminato. Questo evento di cybercrime ha molti elementi in comune, sia operativi che tecnici, con due tentativi di truffa che hanno interessato l’Italia nei mesi scorsi e che sono stati oggetto di analisi di CERT-PA: parliamo della truffa “DHL”, che nella seconda metà del 2018 ha coinvolto su larga scala le aziende italiane e che similarmente a questo attacco prevedeva l’attivazione di alcune macro nascoste dentro un file excel “infiocchettato” in una comunicazione del popolare servizio di spedizioni internazionali che chiedeva, in perfetto italiano, il saldo di una fattura inevasa.

Per navigare in sicurezza può essere utile qualche ulteriore dettaglio tecnico su questo pericoloso avversario, che ha già mietuto vittime in imprese di tutto il mondo: la macro VBA, come detto, si attiva all’apertura del file .xslx e avvia la catena di infezione colpendo in poco tempo tutto il dispositivo; il vettore è come già menzionato una mail di spear-phishing, analizzata nel dettaglio dai ricercatori di Heimdal Security, che ha come oggetto una fattura da saldare: l’oggetto della mail è fattura “Re: Invoice_74521451” (si presume dunque ci sia stato un messaggio precedente, che in realtà non abbiamo mai inviato!) e l’allegato, ricalcando l’oggetto, è appunto un file Excel chiamato “Invoice_74521451.xls”.

Segui la nostra pagina Facebook per rimanere sempre aggiornato sulle ultime novità

Il corpo della mail, in un discreto inglese, recita: “Dear Sir, my colleague handling this order is out of office for his vacation. Please confirm the attached invoice as enabling us to proceed with the payment schedule. Regards, Sri Astuti”.

L’attacco, nelle prime fasi del suo agire, sembra sia stato molto libero di infettare i malcapitati bersagli grazie al suo essere poco noto ai database dei principali antivirus, che ignorandone l’esistenza ne hanno permesso l’azione indisturbata. I principali osservatori di sicurezza informatica hanno inoltre sottolineato come il gruppo Gorgon abbia mostrato una grande abilità nel nascondere questo malware attraverso l’utilizzo di servizi di condivisione popolari quali pastebin.com per scaricare il payload. L’APT, una volta in funzione, si aggancia a pagine strutturate in modo tale da scaricare sul PC vittima dell’attacco un codice VBA crittografato che esegue, senza che l’utente se ne accorga, alcuni comandi da shell; fatto ciò il malware si attiva e, in una cadenza temporale prestabilita, scarica i vari pacchetti parte dell’infezione; a tale scopo vengono adoperati tre tipologie di script: “StrReverse“, “split variables” e “multiple Wscript objects”.

Come in casi simili, l’unico modo per prevenire l’attacco di questo pericoloso malware è fare attenzione a cosa si riceve nella posta elettronica e tenere sempre il proprio dispositivo il più aggiornato possibile.

Ti è piaciuto l'articolo? Se vuoi ricevere altri articoli simili, iscriviti alla nostra newsletter!

Tweet