Il National Cyber Security Centre (NCSC) ha nuovamente richiamato l'attenzione sull'aumento delle e-mail pericolose, dopo una breve pausa nelle ultime due settimane. Queste e-mail utilizzano passaggi di testo di una precedente corrispondenza e-mail per ingannare i destinatari e far loro credere che il contatto sia già avvenuto. Poiché sia il mittente che la comunicazione precedente sono familiari alla vittima, c'è una maggiore probabilità che la vittima clicchi su un link contenuto nell'e-mail, portando all'installazione di un malware. In questo caso, si tratta di "DarkGate", un malware con caratteristiche avanzate e un meccanismo che invita al ransomware.
La tattica ingannevole: la vecchia comunicazione via e-mail come arma
Il metodo di utilizzare vecchie cronologie di comunicazione per effettuare manovre ingannevoli non è una novità. Nel 2019, il malware "Emotet" ha utilizzato questa tecnica, nota come "dynamite phishing", per ingannare le vittime e indurle ad aprire un documento. Il malware cercava le e-mail nei file Outlook delle vittime sui dispositivi infetti e le utilizzava per inviare il malware ad altre potenziali vittime. Poiché la vecchia comunicazione è nota al destinatario, la probabilità che l'allegato dannoso venga aperto è aumentata.
L'eredità del malware "Emotet" e il sequel con "Qakbot
Dopo la disattivazione temporanea della rete "Emotet" all'inizio del 2021, il malware "Qakbot" ha ripreso questo metodo utilizzando la vecchia comunicazione. Sebbene "Qakbot" fosse già in uso da oltre dieci anni, è stato temporaneamente distribuito tramite la rete "Emotet" come modulo maligno aggiuntivo. È interessante notare che nell'estate del 2020, gli autori di "Qakbot" hanno implementato un cosiddetto "modulo di raccolta e-mail" che utilizzava le credenziali rubate per estrarre le e-mail dai client Microsoft Outlook delle vittime e utilizzarle per ulteriori attacchi.
Nell'agosto 2023, "Qakbot" ha incontrato un destino simile a quello di "Emotet". Le forze dell'ordine negli Stati Uniti e in Europa hanno preso il controllo dell'infrastruttura di comando e controllo della botnet. Di conseguenza, gli aggressori hanno perso il controllo dei PC infetti. Tuttavia, i responsabili non sono stati catturati e l'infrastruttura di spam è stata smantellata solo parzialmente.
Ascesa di "DarkGate": una nuova minaccia con funzioni estese
Nelle ultime settimane, "DarkGate" è diventato il centro dell'attenzione, in quanto questo malware utilizza la tecnologia della vecchia comunicazione. In questo caso, un documento PDF contenente un link al malware viene allegato al messaggio di spam.
"DarkGate" è attivo dal 2017, ma solo quest'estate il malware ha acquisito maggiore notorietà, quando il presunto sviluppatore ha annunciato nuove funzionalità. Queste funzionalità vanno oltre quelle di un downloader tradizionale e includono un accesso remoto nascosto, un reverse proxy e un ruba token Discord, oltre alla capacità di rubare la cronologia di navigazione. Si ritiene che i gruppi criminali che prima utilizzavano "Qakbot" siano passati a "DarkGate".
Vecchia comunicazione, nuovo abuso
Vale la pena notare che alcune delle comunicazioni utilizzate nelle ultime varianti del malware sono molto vecchie. In questo caso, risalgono al 2017, quindi si può ipotizzare che il malware non stia intercettando le comunicazioni e-mail attuali, ma stia invece accedendo a database rubati anni fa da altri attori.
Secondo un rapporto del fornitore di servizi di sicurezza Trendmicro, "DarkGate" utilizza anche altri canali di comunicazione e si diffonde tramite account Skype e Microsoft Teams violati, ad esempio. Analogamente alla tattica delle e-mail, l'account Skype compromesso è già in contatto con la vittima e sembra fornire un file PDF. In realtà, però, si tratta di uno script VB (Visual Basic Script) dannoso. Questo script tenta poi di scaricare e installare il malware.
L'NCSC offre i seguenti consigli su come proteggersi dalle infezioni da malware:
- Tenga presente che e-mail dannose possono anche provenire da mittenti che lei riconosce.
- Sia vigile se una comunicazione precedentemente interrotta viene inaspettatamente ripresa.
- Apra gli allegati delle e-mail con cautela, anche se provengono da fonti presumibilmente affidabili.
Fonte di riferimento
Queste informazioni sono per gentile concessione del National Cyber Security Centre (NCSC). Visiti il sito ufficiale del NCSC per ulteriori informazioni e risorse sulla sicurezza informatica: https://www.ncsc.admin.ch/ncsc/de/home.html.