Gli aggressori usano malware della famiglia Gozi/Ursnif per rubare dati e spiare gli utenti
In Italia è in corso una cyber campagna malevola, mirata a colpire utenze e organizzazioni con e-mail fraudolente. Lo hanno rilevato i ricercatori di sicurezza informatica di Yoroi. Queste sono appositamente create per simulare la condivisione di un documento tramite la piattaforma Google Drive, ma che reindirizza l’utente verso destinazioni malevole. Ad oggi Yoroi ha rilevato 6.617 indirizzi di posta elettronica che potrebbero essere compromessi da momento in cui hanno cliccato sull’url malevola. Nel dettaglio, le comunicazioni fraudolente contengono un link a un sito di distribuzione malware, collegato a servizi di Content Distribution di CloudFlare. Una volta cliccato, dal collegamento si scarica un “archivio personalizzato” contenente uno script “.jse” in grado di infettare l’host vittima. Il malware individuato è riconducibile alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire un accesso backdoor all’attaccante, intercettare digitazioni e attività utente (e.g. attività su portali web).
I cyber attacchi sono particolarmente insidiosi, in quanto sfruttano buone esche per ingannare le vittime. Peraltro, la campagna malware potrebbe aumentare esponenzialmente nelle prossime ore
La campagna dei cyber attacchi secondo Yoroi risulta di particolare rilievo, in quanto inganna l’utente proponendo un link verso servizi noti e nel contempo sfrutta la buona reputazione degli indirizzi di rete della CDN CloudFlare. L’analisi effettuata dagli esperti di sicurezza informatica ha potuto rilevare i contenuti dell’attacco e i dettagli sulle prime vittime colpite. Gli analisti sono riusciti a risalire agli indirizzi IP che hanno cliccato sull’url che costituisce la prima fase dell’attacco. Da questi si è poi potuto risalire alle aziende che potrebbero essere state infettate dal malware. Tanto che Yoroi sta provvedendo a informarle direttamente e tramite la notifica della minaccia ai CERT nazionali. Peraltro, l’azienda ritiene che la cyber minaccia in Italia possa aumentare esponenzialmente la sua entità nelle prossime ore.
