Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy

Quando PEC è diventato l’acronimo di Può Essere Compromessa

Quando PEC è diventato l’acronimo di Può Essere Compromessa

Scritto da Biagio Tagliaferro Il . Inserito in cybersecurity . Visite: 144

#CybersecurityCafé

di Biagio Tagliaferro, CERT-PA

Chi utilizza Internet sa bene che deve costantemente prestare attenzione ai banner con invito a cliccare, ai messaggi di una vincita milionaria che riguarda il milionesimo visitatore o ai tentativi di phishing via email. Ma cosa fare quando l’email è autentica, non v’è spoofing del mittente e soprattutto è una PEC?

Probabilmente dal mese di novembre si potrebbe associare all’acronimo della posta certificata il significato di “Può Essere Compromessa”. A partire dai primi giorni di novembre, infatti, l’intero paese è stato vittima di una massiva campagna di malspam avente come obiettivo le caselle PEC italiane. L’oggetto delle email variava da diciture meno probabili tipo “20170807-Eseguito_Bonifico_Europeo_Unico_0000_11075” a frasi più realistiche come “Re: 18313_091118 – Trasmissione Avviso regionale di protezione civile per il rischio meteo-idrogeologico e idraulico” rendendo, così, più credibile l’autenticità del messaggio ricevuto.

Sebbene siano state molteplici le varianti dei messaggi inviati, le tipologie di email analizzate dal CERT-PA sono sostanzialmente due: 1.un messaggio contenente un allegato PDF riportante la dicitura “This page is intentionally blank” ed un file VBS a cui era affidato il compito di scaricare due file: un’immagine innocua prelevata da un noto sito di recensioni per ristoranti ed un file malevolo vero e proprio. Quest’ultimo veniva salvato col nome di SysComponent.v658.exe nella cartella creata all’occorrenza col nome skwyq472 tra i file temporanei della macchina compromessa e, successivamente, eseguito; 2. un messaggio contenente un allegato PDF avente la stessa dicitura del caso 1 ed un file JS il quale, anche in questo caso effettuava il download di due file: una fattura ed il file malevolo che veniva salvato questa volta col nome di searchStranam596.exe in una cartella creata ad hoc tra i file temporanei ed eseguito al termine del download.

In ognuno dei due casi riportati, i dropper (JS e VBS) contenevano codice offuscato proprio per salvaguardare le url contenenti il malware al fine di assicurarne una longeva attività (malevola). In questo modo, infatti, i siti ospitanti i file malevoli emergevano solo dopo un’attenta opera di deoffuscamento del codice.

Infine, analizzando i sample scaricati è emersa una corrispondenza con la famiglia di Gootkit, un trojan in grado di rendersi quasi invisibile all’interno della macchina infetta, i cui unici intenti sono quelli di trafugare credenziali e informazioni confidenziali, aprire una backdoor all’interno del target compromesso ed aggiungere file al sistema.

Considerato l’utilizzo di PEC come modus operandi sfruttato da questa campagna è plausibile la semplicità con cui si può venire infettati ma, al contempo, è bene ricordare che utilizzare la PEC per inviare un messaggio non certifica l’autenticità del testo, bensì ne garantisce l’integrità e l’avvenuta/mancata consegna.
Anche in questo caso, la regola del buon senso ci viene in aiuto per determinare l’affidabilità di un’email e se dovesse emergere il minimo dubbio è buona norma accertarsi, magari telefonicamente, dell’autenticità del messaggio.

GARR News - Testata semestrale registrata al Tribunale di Roma: n. 243/2009 del 21 luglio 2009

Il contenuto di questo sito è rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia

GARR News è edito da Consortium GARR, La rete Italiana dell'Università e della Ricerca


GARR News n°19 - Dicembre 2018 - Tiratura: 10.000 copie - Chiuso in redazione: 23 luglio 2018
Redazione GARR News
Hanno collaborato a questo numero: Francesca Aloisio, Valeria Ardizzone, Claudio Barchesi, Alex Barchiesi, Paolo Budroni, Francesco Ceccarelli, Giovanni Cioni, Alberto Colla, Patrizia Cuppini, Nevio Dubbini, Marco Ferrazzoli, Roman Ganguly, Corrado Giustozzi, Giuliano Greco, Pasquale Mandato, Silvia Mattoni, Laura Moretti, Michele Nardini, Claudio Pisa, Mario Reale, Roberta Rezoalli, Bruno Santeramo, Antonella Varaschin, Gloria Vuagnin, Massimo Zallocco


 

Abbiamo 214 visitatori e nessun utente online