Malspam-våg i Italien: akta dig för fakturor som bifogas e-postmeddelanden från okända adresser
Två typer av hackerattacker, utförda av cyberbrottslingar, äger rum i Italien under den senaste perioden. Vi berättade om dem i den här artikeln, som också togs upp av Federprivacy, den största italienska sammanslutningen för dataskyddspersonal.
Angreppen, som syftar till att sprida virusen SLoad-ITA och Danabot, har formen av ett klassiskt bedrägligt e-postmeddelande där vi uppmanas att öppna länkar eller bifogade dokument, t.ex. en elektronisk faktura.
För tillfället är därför den bästa försiktighetsåtgärden alltid den mest "klassiska" och anförtros åt användarens försiktighet: öppna inte och kasta omedelbart alla e-postmeddelanden som uppmanar oss att ladda ner sådana dokument särskilt från en okänd avsändare eller adress. Det är faktiskt alltid bra att noggrant analysera e-postmeddelanden från kända avsändare innan du ger dig in på länkar eller nedladdningar: de kan själva ha blivit infekterade eller vara falska.
Vad är SLoad-ITA-viruset
SLoad-ITA är, som namnet antyder, den italienska versionen av en hackerattack som ägde rum i Storbritannien i maj 2018. Det är en malspam-attack, där det skadliga programmet som infekterar datorn skickas via en massiv spammingkampanj för att påverka så många användare som möjligt. För att åstadkomma detta använde cyberbrottslingarna även social ingenjörskonst för att framstå som auktoritativa samtalspartner och övertyga användarna om att göra exakt vad de vill att de ska göra.
För att lura användarna skickar hackergruppen bakom SLoad-ITA-attacken ett e-postmeddelande som meddelar att det finns en utestående faktura (bifogad) från juli 2018. När man laddar ner bilagan inser man dock att det är en ZIP-fil (dvs. en komprimerad mapp) och inte en PDF- eller DOC-fil som man skulle kunna förvänta sig. När du öppnar den komprimerade filen hittar du två filer: en bild och en fil med tillägget LNK. Om du försöker öppna LNK-filen startar du bara skadlig kod, en RAT-trojan (som står för Remote Access Trojan) som ger hackare tillgång till data på vår hårddisk och gör det möjligt att ladda ner annan skadlig kod utan att användaren märker det.
Specifikt kan SLoad-ITA ta regelbundna skärmdumpar medan vi använder datorn och skicka dem automatiskt till hackaren. På så sätt vet cyberkriminella alltid vad vi gör.
Vad är Danabot-viruset
Det andra hotet, vars spridning i Italien började under de sista dagarna i november 2018, är en banktrojan som säkerhetsexperter runt om i världen redan känner till. Enligt ESET, ett av de ledande IT-säkerhetsföretagen, är Danabot en modulär och flerstegs malware som kan modifieras och anpassas av hackare med hjälp av plugins för att anpassa den till de olika nationella verkligheter där den kan användas.
I det här fallet skedde spridningen också genom en skräppostkampanj som var mycket lik den som användes för att sprida SLoad-ITA, vilket leder till att man kan tänka sig att det är samma grupp som kan ligga bakom de två attackerna. På denna punkt finns det dock ingen säkerhet. Danabot sprids via en komprimerad fil med RAR-tillägg, som innehåller infekterade filer som installeras i minnet på den drabbade datorn.
Som nämnts var Danabots ursprungliga syfte att hämta och stjäla bankinformation från angripna användare (hembankuppgifter, kreditkortsnummer och så vidare), men efter förändringar under de senaste veckorna har skadlig kod fått sina möjligheter att göra anstöt dramatiskt utökade. Danabot kan nu ge hackare möjlighet att fjärrstyra infekterade datorer (tack vare en plugin som kallas VNC), analysera datatrafikpaket och hämta olika typer av information om användarens vanor (plugin Sniffer), stjäla lösenord från webbläsare, e-postklienter och annan programvara som är installerad på datorn (plugin Stealer).