È stato scoperto negli ultimi giorni una variante del Malware Ursnif, un trojan che appartiene ad una “famiglia” ben conosciuta.
Le sue caratteristiche sono alquanto preoccupanti, perché gli permettono l’accesso a dati estremamente sensibili. Ma la soluzione per evitare di essere infettati esiste!
Le caratteristiche di Ursnif:
questo ingegnoso cavallo di Troia riesce ad infiltrarsi nel pc e sottrarre password di accesso a piattaforme e siti, come ad esempio mail e home banking.
Come abbiamo detto, è preoccupante: potete facilmente intuire il perché.
L’accesso a determinate piattaforme può permettere al malware di effettuare operazioni estremamente delicate.
Come agisce:
Ursnif utilizza l’indirizzo mail della potenziale vittima, inviando risposte “infettate” a mail ricevute in precedenza da essa.
L’idea è ovviamente diffondersi tra i contatti della vittima utilizzando la fiducia che loro ripongono in lei.
Questo metodo funziona, perché quanti di noi sospettano di mail spedite da colleghi o amici?
La mail di risposta riporta sempre questo testo:
Buongiorno,
Vedi allegato e di confermare
Anche se è riconoscibile il testo, l’oggetto di tale mail è sempre diverso, dato che cambia in base all’oggetto della mail precedentemente ricevuto.
(Per esempio: se la mail iniziale riporta l’oggetto “come stai”, la mail infetta vedrà come oggetto “Re: come stai”.
Nella mail è sempre presente, in allegato, un file DOC nominato “Richiesta.DOC”, oppure “-Richiesta.Doc”.
Questo contiene una MACRO AutoOpen, che, eseguendo il file CMD.EXE, riesce ad avviare PowerShell.
Il cmd.exe esegue uno script di Powershell che riesce a far partire il download di Ursnif.
Poi lo scarica nella cartella C:\Users\Public\ seguita da un numero.
Salvato poi in una cartella di %USERPROFILE%\APPDATA\ROAMING\MICROSOFT, il malware si mette in esecuzione automatica.
Cosa possiamo fare?
Quando un’azienda viene colpita da questo tipo di problematica deve necessariamente contattare esperti IT che possano risolvere il problema.
Dopo aver eliminato la minaccia (cosa che può richiedere comunque giorni di lavoro) è necessario cambiare le password di tutti i siti e di tutte le piattaforme utilizzate.
Ma queste contromisure non bastano a tutelare i propri dati!
Come fare per prevenire un attacco?
Prima di tutto è necessaria l’educazione in materia: imparare a conoscere e riconoscere le minacce quando ce le troviamo davanti.
Le mail con allegati file ZIP devono essere sempre controllate bene prima di essere aperte (anche contattando il mittente). D’altronde questo tipo di mail è dannosa solo se viene aperto l’allegato.
Ma non basta questo, perché come sappiamo le minacce diventano ogni giorno più insidiose.
Le aziende devono dotarsi di sistemi di protezione efficaci!
Avecto DefendPoint è la soluzione endpoint migliore sul mercato.
Grazie alle sue caratteristiche straordinarie non solo elimina le minacce conosciute, ma non permette a quelle sconosciute ma sospette di avvicinarsi alla tua rete.
Scopri Avecto Denfendpoint grazie a TAG distribuzione.
ความคิดเห็น