Non aprite quel messaggio di posta elettronica: potrebbe contenere un virus. Non è un avvertimento generico ma una indicazione specifica relativa a due attacchi hacker attualmente in corso in Italia, da parte di un non meglio identificato gruppo di cyber criminali che hanno l’obbiettivo di rubarci dati sensibili su larga scala.

L’allarme sul primo attacco proviene dalla società di sicurezza informatica Yoroi, che ha diffuso una nota in cui spiega la dinamica di questo attacco, confermata anche dal Computer Emergency Response team della Presidenza del Consiglio de Ministri per la Pubblica Amministrazione (CERT-PA).

Si tratta di un attacco denominato SLoad-ITA, versione localizzata in italiano di una campagna hacker già effettuata a maggio contro utenti del Regno Unito.

Le caselle mail già raggiunte sarebbero migliaia: l’attacco è iniziato il 10 novembre e i picchi massimi, al momento, si sono registrati nei giorni tra il 19 e il 24 novembre.

Il secondo attacco è stato comunicato ieri dal CERT-PA e riguarda la diffusione del Torjan Danabot e la prima mail infetta è stata rilevata nella mattina del 27 Novembre 2018.

L’infezione di SLoad-ITA nasce, come dicevamo, da una classica mail fraudolenta che ci invita ad aprire una fattura elettronica emessa a luglio. Cliccando sul link per scaricare la fattura viene eseguito il download di un file ZIP contenente al suo interno una immagine in formato PNG e un collegamento LNK. Cliccando sul file LNK viene eseguito il codice malevolo vero e proprio, che è nascosto però nel precedente file ZIP e questa finezza permette a questo attacco di superare la maggior parte dei controlli antivirus delle caselle di posta elettronica. Tale codice procede al download di altri file che nasconde sul computer da infettare che, a loro volta, riescono a rubare informazioni su tutti i dispositivi colpiti.

Il Trojan Danabot funziona in modo molto simile: la solita mail ci invita a scaricare la solita fattura, questa volta con data di novembre 2018, e quando clicchiamo sul link viene scaricato un file compresso, questa volta in formato Rar. Dentro al file Rar è contenuto uno script che, appena viene eseguito, scarica sul PC che sta infettando il Trojan Danabot. Il terzo stage consiste nel programmare l’esecuzione del malware ad ogni riavvio del PC, per combattere una eventuale scansione antivirus.

Ma cosa fanno, esattamente, questi due nuovi virus che si stanno diffondendo velocemente in Italia? Nel caso di SLoad-ITA i codici malevoli collezionano informazioni sul nostro computer, come le applicazioni che stiamo utilizzando, i dati della nostra connessione internet e provvedono ad eseguire screenshot periodici del nostro desktop. Tutte queste informazioni vengono poi inviate, a nostra insaputa, ai server degli hacker che rispondono inviando ulteriori file (diversi dai precedenti) ma ugualmente infetti e con nuove porzioni di codice malevolo. Il Trojan Danabot, invece, tenta di sottrarci le credenziali (login e password) di sistema, le credenziali del browser e del client di email e infine di ottenere l’accesso remoto al nostro PC tramite i sistemi VNC e RDP. In entrambi i casi, quindi, si tratta di sofisticate campagne di cyberspionaggio messe in atto per raccogliere enormi quantità di informazioni sulle abitudini di (potenzialmente) milioni di utenti.

Visto il modo in cui funziona SLoad-ITA, al momento la mail incriminata riesce a passare attraverso i filtri antivirus della maggior parte delle caselle di posta elettronica. Il continuo download di file infetti sempre diversi riduce anche l’efficacia di una scansione antivirus locale, sul PC già infetto, perché è come se il virus cambiasse in continuazione.

Danabot è meno evoluto, ma comunque difficile da filtrare dall’antispam della posta elettronica.

Al momento, quindi, la miglior misura di precauzione per difendersi da SLoad-ITA e da Danabot è anche la meno tecnica: aprite gli occhi e, se vi arriva una mail che vi invita a scaricare una fattura elettronica da un indirizzo che non conoscete, cestinatela immediatamente.