È davvero così facile cadere nella trappola dei malware? Il caso del Trojan Ursnif e di Inps

La diffusione di virus malevoli tramite e-mail non è una novità. Purtroppo, è molto frequente aprire la propria casella di posta elettronica e ritrovare della corrispondenza solo apparentemente proveniente da un Ente previdenziale o da una Banca, con inviti a scaricare allegati o aprire link sospetti, soprattutto sul luogo di lavoro.

Negli ultimi tempi ad essere sotto i riflettori è stato l’ente previdenziale INPS: è stato infatti individuato un nuovo malspam[1], finalizzato alla distribuzione del malware Ursnif.

 

Come si diffonde il Trojan Ursnif?

Tramite e-mail contenenti allegati o link dannosi, camuffati agli occhi degli utenti. Solitamente questo tipo di e-mail vengono presentate come inviate da società, istituzioni, organizzazioni o altre entità legittime. In particolare il travestimento da lettera dell’INPS [2] risulta tra quelli più efficaci, poiché le potenziali vittime vengono invitate ad aprire l’allegato per controllare la regolarità del versamento dei propri contributi previdenziali.

Ma davvero l’operazione di camouflage è così ben riuscita? Ciò che spinge il destinatario a visualizzarne il contenuto è evidentemente ben posizionato in alcuni elementi della mail, come l’oggetto o il corpo del testo, dove si avvisa di alcune irregolarità, innescando nel destinatario uno stato di apprensione.

L’utente dunque viene invitato a compilare un modello precompilato per fare richiesta di rimborso. Il file allegato è un documento Microsoft Office Excel (formato XLS) con macro VBA (Visual Basic Application) malevola, protetto dalla password “inps”, comunicata nel corpo nella email.

All’apertura del file, viene chiesto all’utente di abilitare le modifiche, assicurandolo che si tratta di un file sicuro e privo di virus. Quest’azione, apparentemente rassicurante, attiva la macro e avvia l’esecuzione del codice PowerShell e le connessioni da esso stabilite, finalizzate a scaricare il payload finale (“contabilita.dll”) relativo al malware Ursnif/Gozi. Così l’utente finisce per scaricare / installare Ursnif Trojan.

 

Le caratteristiche del Trojan

“INPS email virus” fa parte della famiglia Trojan. Questo virus può raccogliere dati di accesso/password salvati, rubare informazioni sulla carta di credito, rubare identità, acquisire schermate, scaricare ed eseguire file e utilizzare questi dati per effettuare diverse operazioni incontrollate, quali acquisti, transazioni fraudolente, diffondere altri maltrattamenti e per altri scopi dannosi.

Pertanto, le e-mail come INPS Email Spam dovrebbero essere ignorate (gli allegati forniti e il collegamento al sito Web allegato non dovrebbero mai essere cliccati).

 

I primi casi di diffusione del Trojan Ursnif

Il caso INPS non è l’unico caso di Trojan Ursnif di cui si è a conoscenza. In passato ci sono stati diversi casi di Ursnif finalizzati alla diffusione di un particolare tipo di virus bancario tramite email, dove si invitavano gli utenti (fornendo anche delle credenziali di accesso ad un sito web proposto) ad aprire una falsa fattura contenuta in un file excel.

 

Quali sono le misure di sicurezza da adottare?

Così come indicato dal CSIRT (Computer Security Incident Response Team), è possibile far fronte a queste minacce seguendo delle misure di sicurezza volte ad evitare di cadere nella trappola attraverso:

  • limitazione delle le funzionalità delle macro che attivano connessioni verso internet;
  • adozione di politiche di esecuzione controllata di PowerShell;
  • periodiche sessioni di formazione finalizzate a riconoscere il phishing e i rischi ad esso connessi.

Inoltre è sempre opportuno:

  • verificare la provenienza delle email controllando il dominio (nel casi dell’INPS è stato inviato tramite il dominio infomeeticy[.]co);
  • utilizzare un buon antivirus e tenerlo sempre aggiornato;
  • fare una scansione periodica del vostro computer;
  • prestare grande attenzione a tutti i messaggi poco chiari;
  • non aprire mai allegati dichiarati non sicuri.

 

 

 

[1] Acronimo di malicious spam. Email di spam inviata per infettare la vittima attraverso malware veicolato tramite file allegati o link che portano l’utente verso siti malevoli.
[2] Ursnif o INPS email virus è il nome dato al virus diffuso tramite questa campagna di truffa.

Come garantire un corretto comportamento in azienda?

La soluzione formativa per la compliance aziendale

Il Regolamento Europeo sancisce un obbligo di formazione in capo ad imprese e PA in materia di protezione di dati personali. Dipendenti e collaboratori devono essere adeguatamente formati, al fine di acquisire un quadro generale sui principali adempimenti previsti.

Dalla collaborazione con Euroconference, nasce un percorso in e-learning modulare, pensato per le specifiche esigenze della compliance aziendale:

  • 2 corsi e-learning base
    (a scelta, della durata di 1 ora o di 3 ore)
  • 5 corsi e-learning verticali di approfondimento
    (della durata di 3 ore)
    -Information tecnology
    –  Pubblica Amministrazione
    –  Risorse Umane
    – Commerciale e Marketing
    – Ambito Sanitario
SCOPRI SUBITO