Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Spear Phishing: un caso esempio per imparare a riconoscere questa tipologia di truffa
- VENERDÌ 28 GIUGNO 2019



Negli ultimi mesi abbiamo registrato una crescita improvvisa di attacchi di Spear Phishing. Lo Spear Phishing è una variante della classica truffa di phishing, nel quale un attaccante invia ad un individuo (spesso un dipendente di una azienda) una email che sembra provenire da una fonte legittima. Al contrario delle vaste campagne di phishing, lo spear phishing è molto più mirato, pensato per colpire utenti specifici. Vengono usati vari trucchetti di ingegneria sociale, tra i quali transazioni commerciali o offerte, per convincere il destinatario della legittimità e genuinità della fonte e del messaggio stesso, spesso proveniente da una persona o da un contatto già conosciuto. 

Ovviamente lo scopo di queste email, come di ogni truffa informatica, è quello di ottenere l'accesso al sistema dell'utente vittima e/o sottrarre informazioni riservate. 


Rendiamo qualche dettaglio tecnico di una campagna di Spear Phishing che abbiamo recentemente analizzato, a titolo esemplificativo: come detto molte volte, infatti, la prima linea di difesa dai cyber attacchi siamo noi stessi ed è quindi utile avere consapevolezza delle tipologie di attacchi più diffusi così da saper distinguere una email falsa da una email legittima.

Dettagli tecnici
Il primo step di questa catena di infezione è la distribuzione di una email apparentemente legittima contenente un file XLS in allegato. Il nome dell'allegato è del tipo "Notifica Importante" o "Importanti aggiornamenti", provenienti da fonti collegate al proprio ambiente lavorativo o da enti governativi. Quando il destinatario apre l'allegato XLS, viene subito visualizzato il prompt che invita l'utente ad abilitare le macro in Excel. 


Se l'utente clicca su "Abilita macro" il file XLS viene aperto in visualizzazione. Uno degli allegati che abbiamo analizzato approfonditamente, aveva due form utente con differenti nomi e un modulo col codice sorgente presente nella macro. Il primo form, "WsHAfi Box" contiene dati in forma decimale. 


Nel corso dell'analisi abbiamo scoperto che sostituendo l'apostrofo (') con lo spazio si ottengono alcuni dati nel formato decimale. Li abbiamo quindi convertiti da decimali ad ASCII e abbiamo ottenuto un file .ZIP.  Nella foto sottostante sono mostrati i passaggi per ottenere il file .ZIP



Il contenuto dell'archivio compresso viene estratto con la funzione Sub unHafizaizip(): è il payload ("dtiardhues.exe"), che viene quindi eseguito tramite Shell.  In dettaglio questo eseguibile è un RAT (trojan per accesso da remoto)



Il file eseguibile contenuto nell'archivio ha, in realtà, varie versioni in base a quale versione di Windows è in esecuzione sulla macchina bersaglio al momento dell'attacco. Viene eseguito automaticamente, senza cioè che sia necessaria alcun intervento dell'utente e si connette ad un server di comando e controllo: una volta che l'host della vittima è connesso al server C&C, il malware si mette in attesa di istruzioni.  I Quick Heal Security Labs hanno individuato una lista piuttosto ampia di funzioni che il server C&C invia sugli host infetti, la maggior parte delle quali sono relative al furto e all'esfiltrazione di dati sensibili. Qualche  esempio:


Conclusioni&Consigli:
è vero, l'identificazione delle email di spear phishing spesso è complessa, sopratutto per utenti non esperti. E' comunque molto importante prestare molta attenzione alle email che si ricevono e, principalmente, è bene essere diffidenti quando si apre un allegato o si clicca su un link ricevuto via email. Qualche consiglio utile può essere:
  • verifica l'email del mittente. Se è un collega o un amico, chiedi conferma diretta;
  • non farti ingannare dalla promessa di offerte e omaggi incredibili. In caso di email a contenuto legale, non farti prendere dall'agitazione e valuta il contesto, per capire quanto sia realmente plausibile ricevere quel tipo di notifica/documento legale;
  • non cliccare mai sui link contenuti nel testo di una email;
  • apri eventuali documenti Office allegati in modalità di Sola Lettura. Non lasciare le macro abilitate di default. 
Quick Heal e Seqrite forniscono soluzioni di sicurezza che proteggono gli utenti da questo tipo di email e di allegati dannosi, ma aiutano anche a identificare le comunicazioni da remoto del server di Comando e Controllo. Dotarsi di questi livelli di protezione è molto importante, così come tenere sempre aggiornate le soluzioni antivirus. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login