Da qualche mese gli utenti italiani che possiedono una casella di posta molto trafficata sono oggetto di una campagna di spam molto subdola e tenace. Noi di servermanaged.it abbiamo analizzato l’attacco, con i risultati che seguono.
Molti utenti italiani sono attualmente oggetto di una campagna di spam che porta con sè la diffusione di malware allegato nel corpo del messaggio.
La campagna è stata sotto osservazione per un periodo di tempo sufficiente a delineare i tratti caratteristici di questo evento.
Il soggetto del messaggio
Il soggetto del messaggio di spam è quasi sempre molto sintetico ed include i seguenti termini : “acquisto”, “fattura” , “vendita”, “domanda”. Questo comportamento fa si che sia difficile bloccare a livello di antispam il messaggio infetto dal momento che si rischierebbero di bloccare messaggi di posta del tutto leciti, contenenti i termini di uso comune sopra elencati.
Il corpo del messaggio
Il corpo dei messaggi che fanno parte di questa campagna di spam è molto ambiguo ed avverte l’utente di una fantomatica fattura non pagata o di un addebito imminente sulla carta di credito per un’acquisto mai eseguito. In aggiunta vi è quasi sempre un link che conterrebbe un riepilogo dei falsi acquisti ma che in realtà nasconde un esguibile per Windows, camuffato sotto forma di file pdf.
In uno dei tanti campioni di messaggi esaminati la struttura del link ha la seguente forma : http://agrilao.it/invoice/Scaninfo.zip?xxxxx
Abbiamo verificato che gli allegati contenuti nei messaggi di posta poggiano quasi sempre su siti web italiani che vengono compromessi ed utilizzati per la diffusione del malware. L’allegato vero e proprio, Scaninfo.zip contiene al suo interno un eseguibile .exe che fa leva su alcune vulnerabilità di Adobe Reader per installare ulteriore software malevolo, molto spesso trojan. Scaninfo.pdf.exe dopo l’esecuzione crea connessioni in uscita verso siti web ospitati in Russia oltre ad avviare una connessione con il sito web http://www.sfogolibero.it allo scopo di scaricare il file 0090.exe, rilevato da Avast come Win32:Kryptik-FJS. Quest’ultimo è un noto trojan ed il sito web sfogolibero.it è già stato bloccato da Google come fonte di diffusione di malware.
Difendersi dal malware, lato client
Per arginare attacchi di questo tipo è fondamentale analizzare lucidamente i messaggi di posta che vengono ricevuti nella propria casella, scandagliandone il mittente, la forma grammaticale e logica del messaggio oltre ad eventuali link sospetti. E’ importantissimo inoltre mantenere aggiornate sul proprio sistema le suite Java e Adobe Reader/Flash eseguendo gli update all’ultima versione disponibile. Le campagne infettive hanno nella stragrande maggioranza dei casi l’obiettivo di attaccare versioni vulnerabili di Adobe Flash e di Java allo scopo di prendere il controllo del sistema colpito.
Difendersi dal malware, lato server
Oltre agli utenti comuni colpiti dai messaggi di spam vi sono tra le vittime anche i webmaster dei siti web utilizzati per diffondere i trojan. Un sito web innocente e del tutto privo di rischi può diventare improvvisamente un ricettacolo di infezione. In casi come quello analizzato i siti web vengono compromessi con un furto di credenziali ftp o con un bruteforce. Successivamente sul sito viene impiantato un file infetto che verrà poi distribuito con un link all’interno dei messaggi di spam. Per proteggere i vostri siti web da rischi di questo tipo prestate attenzione alla gestione delle password ed alla verifica periodica delle difese del server.
Link
Analisi Scaninfo.pdf.exe con Anubis
Analisi Scaninfo.pdf.exe con ThreatExpert
Post simili:
