Blog

Email phishing con malware FlawedAmmyy tramite account italiani

Pubblicato il 28 Marzo 2019 da Giulia Rispoli in Sicurezza e Privacy

Recentemente i nostri sistemi di monitoraggio hanno bloccato l’ennesima campagna di phishing veicolata tramite account email compromessi, di utenti italiani, con malware FlawedAmmyy.

Si tratta di una tipologia di phishing che, attraverso l’utilizzo del malware FlawedAmmyy, consente l’ottenimento dei dati di accesso all’ home-banking e il pagamento di fatture false.

Le email in questione fanno riferimento a false fatture non pagate o con scadenza imminente che destano curiosità e ansia nell’utente. All’interno di tali email è presente,in allegato, un file Word o Excel che l’utente è inviato a scaricare e aprire per riuscire visualizzare i dettagli della fattura. Per poter accedere al contenuto dei file viene richiesta l’attivazione delle Macro XLM che, per questioni di sicurezza, non dovrebbero essere mai attivate in quanto danno l’autorizzazione all’esecuzione di attività, non visibili facilmente dall’utente, che possono essere potenzialmente pericolose. Le Macro XLM vengono così usate come dropper, cioè come accesso per il download del malware FlawedAmmyy che viene il tal modo scaricato sul computer e inizia a raccogliere e inviare dati.

Grazie ai nostri sistemi di sicurezza abbiamo individuato e recuperato alcuni file Word e Excel contenenti le Macro malevoli e le abbiamo sottoposte a Virustotal, un servizio online di analisi su vari motori antivirus. Il risultato è stato sorprendente: meno di 10 antivirus su 57 hanno identificato i file come minaccia.

Nel caso in cui il malware sia nuovo e avanzato, i sistemi potrebbero non identificarlo come una minaccia e non bloccarne la diffusione. Il primo utente vittima del nuovo malware viene definito “paziente zero” in quanto sarà il primo utente infettato, ma anche il punto di partenza per poter iniziare ad elaborare un meccanismo di difesa. Non appena il malware verrà identificato, sarà catalogato come file infetto e reso noto a tutti i sistemi di sicurezza che ne impediranno la diffusione futura.

A Qboxmail abbiamo messo a punto sistemi di sicurezza capaci di identificare le minacce e impedirne la diffusione: individuato un pericolo viene immediatamente inibito l’accesso SMTP all’account compromesso e inviato un messaggio di avviso all’utente e al suo IT Manager .

Sempre più spesso truffe e attacchi vengono veicolate tramite messaggi email, per questo investiamo molto nella sicurezza dei nostri sistemi, affidandoci ai migliori antivirus e antispam e formando il nostro personale sulle ultime novità relative alla cyber security.

Pubblicato da
Giulia Rispoli
Login Prova Gratis