Software offline per i pagamenti nel mirino degli hacker – imprese svizzere colpite

25.07.2016 - Negli ultimi giorni MELANI ha osservato vari attacchi a software offline per i pagamenti ad opera del malware Dridex. Di solito questi programmi sono usati dalle imprese per effettuare in Internet un grande numero di pagamenti a una o più banche. Se i computer dotati di tali software vengono infettati, i danni potenziali che ne derivano sono dunque gravi. MELANI raccomanda pertanto alle imprese di adottare con urgenza tutti i provvedimenti necessari a proteggere i computer utilizzati da questo genere di frode.

Nei giorni scorsi alla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) sono stati segnalati diversi casi in cui gli aggressori si sono serviti del malware Dridex per tentare di effettuare pagamenti fraudolenti mediante software offline. Essi hanno tentato per lo più di eseguire simultaneamente e in breve tempo il maggior numero possibile di versamenti a destinatari stranieri. Il danno potenziale è dunque grave.

Dridex è un noto trojan bancario che in genere si propaga attraverso documenti nocivi di Microsoft Office spediti in e-mail che sembrano provenire da fonti accreditate. Già all’inizio di luglio MELANI aveva messo in guardia da simili documenti.

Numerosi documenti Office maligni in circolazione:
https://www.melani.admin.ch/melani/it/home/dokumentation/newsletter/malicious_office_documents.html

Modus Operandi

Dopo aver infettato il computer, Dridex cerca i software offline per i pagamenti. Si tratta di software utilizzati da numerose imprese per effettuare in internet un numero cospicuo di pagamenti a una o più banche. Al momento Dridex cerca i software dei produttori elencati di seguito. Se trova uno di questi software per i pagamenti nel computer infettato, Dridex è in grado di scaricare da Internet altri malware, con cui verranno eseguiti i pagamenti fraudolenti.

Produttori di software

Abacus
Abrantix
Alphasys
Argo-Office
Bellin
Cashcomm
CoCoNet
Crealogix
Epsitec
financesuite
Financesuite
Macrogram
Mammut
Mmulticash
Moneta
Multiversa
Myaccessweb
Omikron
Quatersoft
Softcash
Softcrew
Starmoney
Trinity 

Lista di produttori di software per il pagamento, compresi nei dati di configurazione di Dridex.

Per proteggersi da attacchi di questo tipo, MELANI raccomanda di applicare ai computer utilizzati per il traffico dei pagamenti le misure di sicurezza seguenti. 

  • Per effettuare i pagamenti offline e e-Banking servitevi di un computer apposito, che non usate per navigare in Internet, leggere e-mail ecc.
  • Vidimate i pagamenti utilizzando una firma collettiva su un secondo canale (ad es. eBanking). Informatevi in proposito presso la vostra banca.
  • Nel caso in cui utilizzaste un Hardware-Token (ad es. Smart Card, USB-Dongle) rimuovetelo dal computer dopo aver terminato di utilizzare il software per i pagamenti.
  • Se possibile non salvate i dati per l’accesso (numero di contratto, password ecc.) direttamente sul software.
  • Informatevi presso il produttore del vostro software per i pagamenti in merito ad ulteriori misure di sicurezza ed attivate l’update automatico del programma.
  • Notificate immediatamente alla vostra banca i pagamenti sospetti.

Per evitare un'infezione da Dridex e altri malware nella vostra azienda, MELANI raccomanda di adottare le misure seguenti.

  • Assicuratevi che gli allegati alle e-mail potenzialmente dannosi vengano bloccati già nel gateway della vostra e-mail oppure filtrati dal filtro spam. Gli allegati pericolosi possiedono, tra le altre, le seguenti estensioni:

             .js (JavaScript)
             .jar (Java)
             .bat (Batch file)
             .exe (Windows executable)
             .cpl (Control Panel)
             .scr (Screensaver)
             .com (COM file)
             .pif (Program Information File)
             .vbs (Visual Basic Script)
             .ps1 (Windows PowerShell)            
            .wsf (Windows Script File)    
            .docm (Microsoft Word con macro)
            .xlsm (Microsoft Excel con macro)
            .pptm (Microsoft PowerPoint con macro)

  • Assicuratevi che allegati del genere vengano bloccati anche se inviati sotto forma di dati d’archivio, ad esempio ZIP, RAR ma anche di dati d’archivio protetti (come un file ZIP protetto da password).
  • Infine si consiglia di bloccare tutti gli allegati che contengono macro (ad es. allegati Word, Excel o PowerPoint che contengono macro). 

Nel seguente promemoria figurano ulteriori misure per migliorare la sicurezza informatica nelle PMI.

Promemoria sulla sicurezza informatica per le PMI:
https://www.melani.admin.ch/it-sicherheit-fuer-kmus

Lista di controllo per il programma in 10 punti:
https://www.kmu.admin.ch/kmu/it/home/consigli-pratici/gestire-una-pmi/infrastruttura-e-it/infrastruttura-per-la-tecnologia-dell-informazione/infrastruttura-informatica-di-sicurezza.html

Avviso urgente in materia di sicurezza mammut soft computing ag:
https://www.mammut-soft.ch/images/Doku/Avviso_urgente_in_materia_di_sicurezza.pdf 

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/offline-payment-software.html