Trwa atak hakerów we Włoszech: uważaj na załączone faktury


W ostatnich dniach dwa ataki hakerów zagrażają bezpieczeństwu IT włoskich użytkowników. Oba wykorzystują sztuczkę z fałszywymi fakturami

Nie otwieraj tej wiadomości e-mail: może ona zawierać wirusa. Nie jest to ogólne ostrzeżenie, ale konkretne wskazanie na dwa ataki hakerskie, które są obecnie przeprowadzane we Włoszech przez niezidentyfikowaną grupę cyberprzestępców, których celem jest kradzież poufnych danych na dużą skalę.

Alarm dotyczący pierwszego ataku pochodzi od firmy Yoroi, zajmującej się bezpieczeństwem IT, która wydała notę wyjaśniającą dynamikę tego ataku, co zostało również potwierdzone przez Zespół Reagowania na Incydenty Komputerowe Prezydencji Rady Ministrów Administracji Publicznej (CERT-PA). Jest to atak o nazwie SLoad-ITA, będący zlokalizowaną w języku włoskim wersją kampanii hakerów przeprowadzonej już w maju przeciwko użytkownikom w Wielkiej Brytanii. Atak objął już tysiące skrzynek pocztowych: rozpoczął się 10 listopada, a największe nasilenie odnotowano między 19 a 24 listopada. Drugi atak został zakomunikowany wczoraj przez CERT-PA i dotyczy rozprzestrzeniania się Torjana Danabota, a pierwszy zainfekowany e-mail został wykryty rano 27 listopada 2018 r.

Jak działają wirusy SLoad-ITA i Danabot

Infekcja SLoad-ITA wywodzi się, jak powiedzieliśmy, z klasycznego oszukańczego e-maila, który zachęca nas do otwarcia elektronicznej faktury wystawionej w lipcu. Kliknięcie na link do pobrania faktury powoduje pobranie pliku ZIP zawierającego obrazek w formacie PNG oraz link LNK. Kliknięcie na plik LNK powoduje uruchomienie rzeczywistego złośliwego kodu, ale jest on ukryty w poprzednim pliku ZIP, a ta subtelność pozwala temu atakowi ominąć większość antywirusowych kontroli skrzynek e-mail. Kod ten przystępuje do pobierania innych plików, które ukrywa na zainfekowanym komputerze, a które z kolei zdołają wykraść informacje o wszystkich zainfekowanych urządzeniach.

Trojan Danabot działa w bardzo podobny sposób: zwykły mail zaprasza nas do pobrania zwykłej faktury, tym razem z datą listopad 2018, a po kliknięciu w link pobierany jest skompresowany plik, tym razem w formacie Rar. Wewnątrz pliku Rar znajduje się skrypt, który po uruchomieniu pobiera trojana Danabot na zainfekowany komputer. Trzeci etap polega na zaprogramowaniu złośliwego oprogramowania tak, aby uruchamiało się przy każdym ponownym uruchomieniu komputera, w celu zwalczenia ewentualnego skanowania antywirusowego.


Niebezpieczeństwa związane z SLoad-ITA i Danabot

Co dokładnie robią te dwa nowe wirusy, które szybko rozprzestrzeniają się we Włoszech? W przypadku SLoad-ITA złośliwy kod zbiera informacje o naszym komputerze, takie jak używane przez nas aplikacje, dane o naszym połączeniu internetowym, a także wykonuje okresowe zrzuty ekranu naszego pulpitu. Wszystkie te informacje są następnie wysyłane bez naszej wiedzy do serwerów hakera, który w odpowiedzi wysyła kolejne pliki (inne niż poprzednie), ale równie zainfekowane i z nowymi porcjami złośliwego kodu. Trojan Danabot próbuje natomiast wykraść dane uwierzytelniające system (loginy i hasła), dane przeglądarki i klienta poczty elektronicznej, a w końcu uzyskać zdalny dostęp do naszego komputera za pośrednictwem systemów VNC i RDP. W obu przypadkach mamy więc do czynienia z wyrafinowanymi kampaniami cyberszpiegowskimi, mającymi na celu zebranie ogromnych ilości informacji o zwyczajach (potencjalnie) milionów użytkowników.


Jak chronić się przed SLoad-ITA i Danabotem

Z powodu sposobu działania SLoad-ITA, obraźliwe wiadomości e-mail przechodzą obecnie przez filtry antywirusowe większości skrzynek pocztowych. Ciągłe pobieranie różnych zainfekowanych plików zmniejsza również skuteczność lokalnego skanowania antywirusowego na już zainfekowanym komputerze, ponieważ wirus tak jakby ciągle się zmieniał. Danabot jest mniej zaawansowany, ale nadal trudny do odfiltrowania przez antyspam e-mailowy.

W chwili obecnej najlepszym środkiem zapobiegawczym w obronie przed SLoad-ITA i Danabotem jest więc również najmniej techniczny: otwórz oczy i jeśli otrzymasz e-mail z zaproszeniem do pobrania faktury e-mailowej z nieznanego Ci adresu, natychmiast go wyrzuć.