Malware: si raccomanda prudenza indipendentemente dal sistema operativo utilizzato

15.06.2017 - Gli artefici delle ondate di e-mail infette puntano sulla diversificazione per ampliare continuamente il proprio ventaglio di bersagli. Di conseguenza gli utilizzatori di sistemi Windows non sono più gli unici ad essere presi di mira. Nelle ultime settimane la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) ha osservato svariate ondate volte a distribuire software nocivi specificamente agli utenti svizzeri del sistema operativo sviluppato da Apple, macOS. È importante ricordare che ciascun utente dovrebbe muoversi in rete con cautela indipendentemente dal sistema operativo utilizzato.

La tendenza a prendere di mira dei sistemi specifici per distribuire un software nocivo adatto non è una novità. Nel caso degli attacchi contro i sistemi di pagamento, per esempio, i criminali cercano da qualche tempo di identificare la presenza di sistemi di pagamento offline per distribuire un codice idoneo (vedi Bollettino d’informazione MELANI del 25.07.2016, «Software offline per i pagamenti nel mirino degli hacker»). Questa tendenza è confermata dall’interesse crescente dei criminali informatici per gli utenti macOS. Nelle ultime settimane, differenti ondate d’e-mail hanno cercato di propagare, tramite allegato e-mail, dei malware progettati appositamente per questo sistema operativo. Generalmente, secondo un modus operandi ormai consolidato (vedi Bollettino d’informazione MELANI, «Crescente impiego abusivo dei nomi di servizi federali e di imprese»), queste e-mail sfruttano l’identità di ditte o entità pubbliche conosciute. Le ultime versioni osservate contengono in allegato i dettagli di una finta comanda, sotto forma di file d’archivo.zip. Una volta aperto, il documento cerca di installare il cavallo di Troia bancario Retefe. Retefe è un malware ormai noto in Svizzera ma, fino a questo momento, i criminali prendevano di mira esclusivamente il sistema operativo Windows.

È interessante notare che, inizialmente, i criminali cercano di identificare il sistema operativo utilizzato da un utente preciso. Una prima e-mail ha lo scopo di raccogliere quest’informazione. Anche questo tipo di e-mail, che costituisce la fase preparatoria dell’attacco, usurpa l’identità di un’istituzione o di un’impresa conosciuta e giustifica la presa di contatto con differenti pretesti. A volte essa contiene un breve testo, in altri casi, invece, si limita ad indicare le coordinate della ditta in questione. 

Ablauf_E-Mail_it
Modus Operandi

In realtà l’e-mail contiene una minuscola immagine, quasi invisibile a occhio nudo (1x1 pixel). Se viene visualizzata (cosa che può essere automatica ma anche richiedere un’azione da parte dell’utente a dipendenza della sua configurazione ), viene stabilita una comunicazione con un server esterno che capta differenti informazioni sul sistema dell’utente (principalmente il cosiddetto User Agent). Una volta ottenute le informazioni, i criminali hanno la possibilità di inviare allo stesso indirizzo e-mail un malware adatto al sistema operativo corrispondente.

Attraverso il presente Bollettino d’informazione MELANI intende ricordare a tutti gli utenti della rete, indipendentemente dal sistema operativo utilizzato, le misure di sicurezza seguenti: 

  • Assicuratevi che il vostro servizio o programma di messaggeria blocchi il caricamento automatico di immagini o di altri documenti contenuti nelle e-mail. Sovente questa protezione è attivata per default.
  • Non visualizzate le immagini contenute in una e-mail a meno che non siate assolutamente sicuri dell’origine di quest’ultima.
  • Diffidate dalle e-mail che vi vengono inviate spontaneamente: siate critici non soltanto nei confronti delle e-mail provenienti da persone a voi sconosciute ma anche nei confronti di quelle che vi giungono da mittenti che conoscete. Le aziende particolarmente meritevoli di fiducia vengono spesso sfruttate come falsi mittenti.
  • Non lasciatevi mettere sotto pressione. Prendete il tempo necessario per verificare l’autenticità dell’e-mail e in caso di dubbi rivolgetevi direttamente all’impresa interessata. Non utilizzate un numero di telefono contenuto nella e-mail ma cercatelo, ad esempio, all’interno un elenco del telefono online.
  • In casi rari può succedere che la vittima stia effettivamente aspettando un’e-mail da parte di una determinata impresa. Anche in questi casi ci sono numerose indicazioni su come distinguere un’e-mail falsificata da una autentica. MELANI raccomanda di utilizzare sempre una firma digitale per messaggi elettronici (S/MIME o PGP). Prendetevi in ogni caso il tempo necessario per verificare l’autenticità del messaggio ricevuto. 

Per evitare di venir infettati da un programma nocivo, MELANI raccomanda di adottare le misure seguenti: 

  • Assicuratevi che gli allegati alle e-mail potenzialmente dannosi vengano bloccati già nel gateway della vostra e-mail oppure filtrati dal filtro spam. Gli allegati pericolosi possiedono, tra le altre, le seguenti estensioni: 

.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows eseguibile)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
.wsf (Windows Script File)
.docm (Microsoft Word con macro)
.xlsm (Microsoft Excel con macro)
.pptm (Microsoft PowerPoint con macro)

Per i sistemi macOS :

.app (Application macOS)
.pkg (Package Files)
.dmg (Disk Images)
.sh (Shell Scripts)
.py (Python Scripts)
.pl (Perl Scripts)

Questo genere di file può anche avere altre estensioni, è quindi importante che il programma di filtraggio  non si basi unicamente sull’estensione del file ma anche sul contenuto.   
 

  • Assicuratevi che allegati del genere vengano bloccati anche se inviati sotto forma di dati d’archivio, ad esempio ZIP, RAR ma anche di dati d’archivio protetti (come un file ZIP protetto da password).
  • Infine si consiglia di bloccare tutti gli allegati che contengono macro (ad es. allegati Word, Excel o PowerPoint che contengono macro). 
https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/malware---si-raccomanda-prudenza-indipendentemente-dal-sistema-o.html