#CybersecurityCafé

di Biagio Tagliaferro, CERT-PA

Chi utilizza Internet sa bene che deve costantemente prestare attenzione ai banner con invito a cliccare, ai messaggi di una vincita milionaria che riguarda il milionesimo visitatore o ai tentativi di phishing via email. Ma cosa fare quando l’email è autentica, non v’è spoofing del mittente e soprattutto è una PEC?

Probabilmente dal mese di novembre si potrebbe associare all’acronimo della posta certificata il significato di “Può Essere Compromessa”. A partire dai primi giorni di novembre, infatti, l’intero paese è stato vittima di una massiva campagna di malspam avente come obiettivo le caselle PEC italiane. L’oggetto delle email variava da diciture meno probabili tipo “20170807-Eseguito_Bonifico_Europeo_Unico_0000_11075” a frasi più realistiche come “Re: 18313_091118 – Trasmissione Avviso regionale di protezione civile per il rischio meteo-idrogeologico e idraulico” rendendo, così, più credibile l’autenticità del messaggio ricevuto.

Sebbene siano state molteplici le varianti dei messaggi inviati, le tipologie di email analizzate dal CERT-PA sono sostanzialmente due: 1.un messaggio contenente un allegato PDF riportante la dicitura “This page is intentionally blank” ed un file VBS a cui era affidato il compito di scaricare due file: un’immagine innocua prelevata da un noto sito di recensioni per ristoranti ed un file malevolo vero e proprio. Quest’ultimo veniva salvato col nome di SysComponent.v658.exe nella cartella creata all’occorrenza col nome skwyq472 tra i file temporanei della macchina compromessa e, successivamente, eseguito; 2. un messaggio contenente un allegato PDF avente la stessa dicitura del caso 1 ed un file JS il quale, anche in questo caso effettuava il download di due file: una fattura ed il file malevolo che veniva salvato questa volta col nome di searchStranam596.exe in una cartella creata ad hoc tra i file temporanei ed eseguito al termine del download.

In ognuno dei due casi riportati, i dropper (JS e VBS) contenevano codice offuscato proprio per salvaguardare le url contenenti il malware al fine di assicurarne una longeva attività (malevola). In questo modo, infatti, i siti ospitanti i file malevoli emergevano solo dopo un’attenta opera di deoffuscamento del codice.

Infine, analizzando i sample scaricati è emersa una corrispondenza con la famiglia di Gootkit, un trojan in grado di rendersi quasi invisibile all’interno della macchina infetta, i cui unici intenti sono quelli di trafugare credenziali e informazioni confidenziali, aprire una backdoor all’interno del target compromesso ed aggiungere file al sistema.

Considerato l’utilizzo di PEC come modus operandi sfruttato da questa campagna è plausibile la semplicità con cui si può venire infettati ma, al contempo, è bene ricordare che utilizzare la PEC per inviare un messaggio non certifica l’autenticità del testo, bensì ne garantisce l’integrità e l’avvenuta/mancata consegna.
Anche in questo caso, la regola del buon senso ci viene in aiuto per determinare l’affidabilità di un’email e se dovesse emergere il minimo dubbio è buona norma accertarsi, magari telefonicamente, dell’autenticità del messaggio.