Protocollo intesa tra la Polizia di Stato compartimento Polizia Postale e delle comunicazioni “Sicilia Orientale” e ODCEC di Catania siglato in data 18 maggio 2019 per la prevenzione ed il contrasto dei crimini informatici sui sistemi informativi “critici”: accessi abusivi, frodi informatiche, spionaggio, violazione dell’identità digitale, indebita sottrazione di informazione.

 

Di seguito si segnalano gli alert dei Sistemi Informativi – Febbraio 2020 

 

 

Phishing

Due differenti campagne di phishing stanno sfruttando i brand di Amazon e TIM per colpire clienti italiani.

Nel primo caso gli attaccanti hanno confezionato email – scritte in italiano accettabile – il cui mittente si presenta come un fantomatico “Servizio Clienti” e l’oggetto è “Amazon…Offerta speciale 90-95% Sconto.!”. Il testo fa riferimento ad un regalo che sarebbe possibile ottenere cliccando su un pulsante. In realtà questa operazione indirizza le vittime a una pagina fake finalizzata alla sottrazione di credenziali e informazioni delle carte di pagamento fornite dai malcapitati.

Quanto a TIM, le email hanno come oggetto “✔ Codice sconto TIM38 incassato con successo” e sembrano spedite da un mittente “info”. Anche in questo caso il messaggio invita a cliccare su un pulsante per avviare la procedura di richiesta di un regalo. Anche in questo caso si viene reindirizzati ad una pagina fraudolenta che raccoglie credenziali e dati delle carte degli utenti.

 

Mailto

Un ransomware denominato Mailto(alias Netwalker) prende di mira le reti aziendali e cifra tutti gli host Windows ad esse connessi.

Il primo nome gli è stato assegnato dagli analisti a partire dall’estensione che allora veniva appesa ai file colpiti (a quella esistente viene aggiunta infatti una stringa del tipo “mailto[sevenoneone@cock.li].77d8b”, dove le cifre finali indicano l’ID della vittima; l’altro nome è stato scoperto in seguito, tramite decryptor che lo indicava come il nome scelto dal suo sviluppatore.

La tracciatura di questa minaccia risale all’agosto 2019, ma la sua esistenza è stata resa nota pubblicamente solo di recente che è stato confermato un attacco da parte di una vittima.

Nello specifico, si tratta della australiana Toll Group, compagnia attiva nel settore dei trasporti e della logistica, sussidiaria della giapponese Post Holdings dal 2015. La società ha dichiarato che ha dovuto chiudere molti sistemi per fronteggiare l’attacco nella notte del 2 febbraio.

Uno dei sample di Mailto tracciati di recente finge di essere il software “Sticky Password”; una volta eseguito, sfrutta configurazioni embedded che sono apparse piuttosto sofisticate e dettagliate rispetto a minacce analoghe.

Nella maggior parte delle infezioni note il ransomware ha adottato la seguente whitelist di cartelle, file ed estensioni:

*system volume information, *windows.old, *:\users\*\*temp, *msocache, *:\winnt, *$windows.~ws, *perflogs, *boot, *:\windows, *:\program file*, \vmware, \\*\users\*\*temp, \\*\winnt nt, \\*\windows, *\program file*\vmwaree, *appdata*microsoft, *appdata*packages, *microsoft\provisioning, *dvd maker, *Internet Explorer, *Mozilla, *Old Firefox data, *\program file*\windows media*, *\program file*\windows portable*, *windows defender, *\program file*\windows nt, *\program file*\windows photo*, *\program file*\windows side*, *\program file*\windowspowershell, *\program file*\cuas*, *\program file*\microsoft games, *\program file*\common files\system em, *\program file*\common files\*shared, *\program file*\common files\reference ass*, *\windows\cache*, *temporary internet*, *media player, *:\users\*\appdata\*\microsoft, \\*\users\*\appdata\*\microsoft.

La nota con la richiesta di riscatto è un 77D8B-Readme.txt, dove la cifra iniziale è l’ID della vittima; il testo riporta la notifica della cifratura, la procedura per il pagamento del riscatto, gli indirizzi di contatto.

 

Emotet

É stato individuato un sample del noto trojan bancario Emotet in cui è presente un modulo worm Wi-Fi che consente al malware di diffondersi su macchine connesse a reti wireless vicine non sicure.

Questa variante sfrutta le chiamate wlanAPI.dll per rilevare le reti wireless attorno a un computer già infetto abilitato al Wi-Fi. Una volta collegato il dispositivo compromesso ad un’altra rete, il worm inizia a cercare altri dispositivi Windows con condivisioni non nascoste; dopodiché va alla ricerca degli account presenti su quei dispositivi e tenta di forzare la password di amministrazione e di tutti gli altri utenti che può recuperare.

Infine, dopo aver eseguito l’accesso ad un account, il worm rilascia un payload malevolo sotto forma di file binario service.exe sul computer della vittima e installa un nuovo servizio chiamato “Windows Defender System Service” per ottenere persistenza.

Un altro dei binari utilizzati da Emotet per infettare ulteriori dispositivi tramite Wi-Fi è worm.exe, un eseguibile contenente un indirizzo IP hardcoded di un server C2, risalente ad aprile 2018: ciò sembra indicare che questo metodo di diffusione tramite Wi-Fi potrebbe essere passato inosservato per quasi due anni.

 

Suggerimenti

Sensibilizzare il personale preposto ai Servizi IT al fine di verificare il corretto aggiornamento dei sistemi e di rammentare a tutto il personale di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine nonché di non installare sui dispositivi, di proprietà di codesti Enti, applicazioni non autorizzate o non pertinenti per svolgere i compiti del proprio Ufficio.