Fala malspamu we Włoszech: uwaga na faktury dołączane do maili z nieznanych adresów
W ostatnim okresie we Włoszech mają miejsce dwa rodzaje ataków hakerskich, dokonywanych przez cyberprzestępców. Rozmawialiśmy o nich w tym artykule, który został również podjęty przez Federprivacy, główne włoskie stowarzyszenie specjalistów ochrony danych.
Ataki, obejmujące rozprzestrzenianie się wirusów znanych jako SLoad-ITA i Danabot, przyjmują formę klasycznego fałszywego e-maila zachęcającego nas do otwarcia linków lub załączonych dokumentów, takich jak faktura elektroniczna.
W chwili obecnej najlepszym środkiem zapobiegawczym jest więc zawsze ten najbardziej "klasyczny" i powierzony roztropności użytkownika: nie otwierać i natychmiast wyrzucać do kosza każdy e-mail, który zachęca nas do pobrania takich dokumentów zwłaszcza od nieznanego nadawcy lub adresu. W rzeczywistości zawsze warto dokładnie przeanalizować e-maile od znanych nadawców, zanim odważysz się na linki lub pliki do pobrania: mogą one same zostać zainfekowane lub mogą być fałszywe.
Co to jest wirus SLoad-ITA
SLoad-ITA, jak sama nazwa wskazuje, jest włoską wersją ataku hakerskiego, który miał miejsce w Wielkiej Brytanii w maju 2018 r. Jest to atak malspamowy, w którym złośliwe oprogramowanie infekujące komputer jest rozsyłane za pomocą zmasowanej kampanii spamowej, mającej na celu dotknięcie jak największej liczby użytkowników. Aby to osiągnąć, cyberprzestępcy zastosowali również techniki inżynierii społecznej, tak aby ustanowić siebie jako autorytatywnych rozmówców i przekonać użytkowników do zrobienia dokładnie tego, co chcą, aby zrobili.
Aby oszukać użytkowników, grupa hakerów stojąca za atakiem SLoad-ITA wysyła wiadomość e-mail informującą o zaległej fakturze (w załączniku) pochodzącej z lipca 2018 r. Pobierając załącznik, zdajemy sobie jednak sprawę, że jest to plik ZIP (tj. skompresowany folder), a nie plik PDF lub DOC, jak można by się spodziewać. Po otwarciu skompresowanego pliku zobaczysz dwa pliki: obraz i plik z rozszerzeniem LNK. Próba otwarcia pliku LNK spowoduje jedynie uruchomienie złośliwego oprogramowania, trojana RAT (skrót od Remote Access Trojan), który daje hakerom dostęp do danych na naszym dysku twardym i pozwala na pobieranie innego złośliwego oprogramowania bez wiedzy użytkownika.
W szczególności SLoad-ITA będzie w stanie okresowo wykonywać zrzuty ekranu podczas korzystania przez nas z komputera i automatycznie wysyłać je do hakera. W ten sposób cyberprzestępca zawsze będzie wiedział, co robimy.
Czym jest wirus Danabot
Drugie zagrożenie, którego rozprzestrzenianie się we Włoszech rozpoczęło się w ostatnich dniach listopada 2018 r., to trojan bankowy znany już ekspertom ds. bezpieczeństwa na całym świecie. Jak podaje ESET, jedna z wiodących firm zajmujących się bezpieczeństwem IT, Danabot jest modularnym i wielopoziomowym złośliwym oprogramowaniem, które może być modyfikowane i dostosowywane przez hakerów za pomocą wtyczek w celu dostosowania go do różnych realiów krajowych, w których może być wykorzystywane.
W tym przypadku rozprzestrzenianie odbywało się za pośrednictwem kampanii spamowej bardzo podobnej do tej, która została wykorzystana do rozprzestrzeniania SLoad-ITA, co pozwala sądzić, że za tymi dwoma atakami może kryć się ta sama grupa. W tej kwestii nie ma jednak żadnej pewności. Danabot rozprzestrzenia się za pośrednictwem skompresowanego pliku z rozszerzeniem RAR, zawierającego zainfekowane pliki, które instalują się w pamięci zainfekowanego komputera.
Jak wspomniano, pierwotnym celem Danabota było pobieranie i kradzież informacji bankowych od zaatakowanych użytkowników (dane bankowości domowej, numery kart kredytowych itp.), ale po zmianach wprowadzonych w ostatnich tygodniach, złośliwe oprogramowanie drastycznie zwiększyło swoje możliwości. Danabot daje teraz hakerom możliwość zdalnego kontrolowania zainfekowanych komputerów (dzięki pluginowi o nazwie VNC); analizowania pakietów danych i pozyskiwania różnego rodzaju informacji o zwyczajach użytkownika (plugin Sniffer); wykradania haseł z przeglądarek, klientów poczty elektronicznej i innego oprogramowania zainstalowanego na komputerze (plugin Stealer).