Selected news item is not available in the requested language.

Italian language proposed.

Close

27/02/2018
10:37

Attenzione nuova campagna di finte fatture colpisce gli utenti italiani dal 27 febbraio 2018


Malware Zeus-Panda si diffonde via email attraverso una finta fattura
      
 
 
 

Nuova campagna malware di finte fatture contro gli utenti italiani è stata riscontrata a partire dal 27 febbraio 2018.
Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft.
 

INDICE

 


Campagna malware fatture dal 27 febbrario 2018.

A partire dal 27 febbraio 2018 è stata inviata una campagna malware di finte fatture verso gli utenti italiani.
L'email incriminata contenente il malware ha più oggetti e anche corpi dei messaggi diversi qui di seguito si possono vedere degli esempi: 
Oggetto: Re: fattura

Buongiorno,

allego la mia fattura

un Saluto e grazie

Oggetto
: bonifico fattura

Buongiorno,

puoi verificare che non mi risulta pagata la fattura

un Saluto e grazie

Oggetto
: Fattura 13

Buongiorno,

ti mando la fattura come da accordi

un Saluto e grazie



Esempio di una mail malevole presente nel pc


clicca per ingrandire
 


 
L'email infetta che è stata analizzata contiene l'allegato:
Nome: fattura_print_04_(info).xls
MD5: 04406F80BBB31321C90B5E74D5184031
Dimensione: 64.512 byte
Gli allegati malevoli hanno la seguente struttura di file "fattura_print_[numero]_([nome del destinatario della mail]).xls" come si può notare dal nostro allegato che abbiamo analizzato.
 
All'interno del file fattura_print_04_(info).xls è presente una macro visibile qui affianco, come si può notare nella riga 14 dell'immagine è visibile la scritta "Sub Workbook_Open()" che significa avvio automaticato di una macro all'apertura del file xls.
clicca per ingrandire

Questo permette alla macro di collegarsi al dominio https://freeflysky[.]tk/rens e scarica il malware nel desktop dell'utente con un nome casuale composto da [7 numeri] nel nostro caso il file è:
Nome: 6810876.exe
MD5: A2A3C3B29103B4B6C51F12BA38BD01B0
Dimensione: 352.256 byte
Data di compilazione: 27 febbraio 2018 02.09.33
Il file scaricato nel desktop viene poi eseguito e si sposta in una cartella casuale dentro a %userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\[CARTELLA CASUALE]\1.0.2_0\css\fonts\iconmoon\NOMEFILE.EXE

E viene avviato automaticamente modificando la chiave di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[NOMEFILE.EXE]=%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\[CARTELLA CASUALE]\1.0.2_0\css\fonts\iconmoon\NOMEFILE.EXE

Il malware fa parte della famiglia Zeus/Panda, un trojan banker con caratteristiche di password stealer, che è in grado di rubare le credenziali di accesso all'home banking , della posta elettronica, ftp, etc.

Ricordiamo come sempre che nel web vengono continuamente eseguiti invii massivi di mail fraudolente, i cui metodi di "ingegneria sociale" sono sviluppati da persone/cyber-criminali che arrivano a studiare usi e costumi delle popolazioni a cui le mail vengono di volta in volta spedite. Questo rende sempre più probabile trovarsi di fronte a messaggi che non presentano inesattezze o errori grossolani, facendo si che anche un occhio esperto possa essere ingannato.

IOC:

MD5:
04406F80BBB31321C90B5E74D5184031
5D4ADD1B388FDE035E7FE75F1CBE7294
A2A3C3B29103B4B6C51F12BA38BD01B0
FB451DC692B8A551E0997CC8D1071444

URL:
https://freeflysky[.]tk/rens
Torna ad inizio pagina

Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina




Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: