Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevate nuove tecniche di distribuzione malware tramite campagne di malspam (AL02/240130/CSIRT-ITA)

Data:
30 Gennaio 2024 10:48

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. 

Descrizione e potenziali impatti

È stata recentemente rilevata dal CSIRT Italia una nuova tecnica di distribuzione di codice malevolo tramite campagne di malspam a tema OneDrive (Figura 1).

Una e-mail di malspam contenente un file .zip
Figura 1 – E-mail di malspam

Il corpo del messaggio, scritto in lingua italiana, invita la potenziale vittima ad agire su un archivio .ZIP allegato contenente un file HTML che, qualora aperto, presenta una pagina riportante loghi e riferimenti riconducibili al servizio OneDrive.

Dopo una breve azione di caricamento, il corpo di tale pagina HTML presenta un messaggio di errore nel quale si evidenzia l’impossibilità di visionare un presunto documento a causa di un errore ed un pulsante che invita l’utente a visionare le modalità di risoluzione del problema (Figura 2).

Messaggio di errore
Figura 2 – Messaggio di errore

Agendo sul pulsante verranno presentate una serie di presunte istruzioni da seguire, che consistono nell’aprire una console Powershell e premere col tasto destro del mouse all’interno della finestra del terminale (Figura 3).

Istruzioni malevole
Figura 3 – Istruzioni malevole

Nel dettaglio, il tasto “Come risolvere” copia all’interno della clipboard uno script il cui contenuto, alla pressione del tasto destro del mouse nella finestra del terminale, verrà incollato ed eseguito automaticamente da Powershell, portando al download ed esecuzione automatica di codice malevolo da una risorsa remota.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam, diffidando da comunicazioni inattese;
  • verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • evitare di eseguire manualmente istruzioni fornite sorgenti di dubbia provenienza e contattare il proprio comparto IT in caso di problemi/errori di carattere informatico.