TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

22/01/2018 09:05:21 - Sicurezza a rischio aprendo un allegato inviato da DHL

      
 



Anche nel mese di gennaio 2018, il C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft ha rilevato una serie di mail fraudolente, che diffondono pericolose minacce.
 

INDICE

==> Le Mail analizzate dal C.R.A.M.
 
==> Non aprire l'allegato

==> Come ceracre di riconoscere una falsa email

==> Come inviare e-mail sospette
Un caso più frequente che si vuole evidenziare riguarda una falsa comunicazione la quale cerca di assumere i connotati del ben noto corriere espresso DHL, già vittima in passato di questi involontari coinvolgimenti atti a truffare gli utenti.
Questa volta il malware che viene diffuso ha il nome di URSNIF e come caratteristica primaria ha la capacità di catturare le credenziali d'accesso di siti web e della posta elettronica.


Le Mail analizzate dal C.R.A.M.


Abbiamo voluto proporre due mail finalizzate allo stesso obiettivo, ovvero quello di ingannare il lettore del messaggio, indicandogli una necessaria consultazione di un "importante" documento allegato, al quale dar riscontro entro e non oltre 24 ore.
La prima cosa da evidenziare è la mancanza di loghi e colori che richiamano le livree aziendali e il sito web di DHL.  Attenzione!!! a volte loghi e pagine web possono essere abilmente contraffatte.

Il mittente, in entrambe le immagini di esempio, non ha un indirizzo mail riferito al dominio dell'azienda coinvolta, particolare che deve essere sempre valutato con attenzione, infatti un mittente poco attendibile,  scongiura fin da subito molti dubbi sulla reale provenienza e veridicità del messaggio.

Un'attenta lettura dell'intero testo ci porta ad individuare un tipico errore grammaticale che alimenta ulteriormente i nostri dubbi, ovvero la mancanza degli accenti in tutte le parole che lo prevedono.
Anche la semantica, seppur corretta,  appare povera e inadeguata per un'azienda come DHL.

A questo punto non ci resta che proseguire con l'analisi dell'allegato.
immagine_1
 Nel web vengono continuamente eseguiti invii massivi di mail fraudolente, i cui metodi di "ingegneria sociale" sono sviluppati da persone/cyber-criminali che arrivano a studiare usi e costumi delle popolazioni a cui le mail vengono di volta in volta spedite. Questo rende sempre più probabile trovarsi di fronte a messaggi che non presentano inesattezze o errori grossolani, facendo si che anche un occhio esperto possa essere ingannato.

 
Torna ad inizio pagina

Non aprire l'allegato

Nonostante l'abilità dei cyber-criminali nell'escogitare nuovi inganni, il problema principale resta come scatenare l'infezione all'interno del sistema operativo.
Per questa occasione è stato scelto l'invio di un allegato. Questo si presenta nel formato comunemente utilizzato per comprimere i dati e pertanto ci si trova di fronte un file in formato ZIP.

Il nome del file è una sigla alfanumerica che però non ci da nessuna informazione utile sul contenuto dell'archivio, chi ha esperienza di queste truffe potrebbe già nutrire dei sospetti in quanto non è "ideale" trasmettere una comunicazione via mail con all'interno un file compresso, la nostra analisi però ci impone di aprire l'archivio e andare ancora piu a fondo. Va ricordato che l'apertura del solo file zip non presuppone l'infezione.

Facciamo ora un passo avanti, apriamo anche il file zip, l'archivio contiene una cartella con lo stesso nome del file compresso. Continuiamo cliccando sulla cartella per trovare finalmente all'interno il file pericoloso, genericamente si presenta con l'icona destinata ai file con estensione JSE.
Essendo uno script, questo file conterrà del codice e nessuna informazione o documento da parte di DHL.
Il tentativo di aprire il file eseguirà il codice che andrà poi a scaricare ed eseguire URSNIF.

Il malware sopracitato può essere identificato come uno sniffer.
Nello specifico si tratta di un Trojan in grado di registrare ciò che la vittima digita nel proprio computer, in quali siti web sta navigando, cosa viene memorizzato negli appunti di Windows e quali programmi sono in esecuzione.
Queste informazioni vengono quindi salvate e successivamente trasmesse agli sviluppatori del malware per dar loro la possibilità di commettere delle frodi informatiche verso il malcapitato utente, come per esempio:
  1. eseguire accessi alla home banking e/o rubare le credenziali della carta di credito
  2. eseguire campagne di spam utilizzando la casella di posta.
  3. accedere ed usare impropriamente social network, web mail e qualunque sito web monitorato dal trojan.
Torna ad inizio pagina


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283