Cybersecurity

Quando un fax ricevuto è un pericolo per l’azienda

21 Maggio 2014
Questa mattina abbiamo ricevuto una email da una nota azienda italiana.

Il messaggio, con oggetto "Fax Ricevuto", conteneva un allegato .zip e un testo in italiano sintatticamente e ortograficamente corretto.

Lo riporto omettendo il nome dell’azienda:

Buongiorno,
il servizio **** di **** ha appena ricevuto il fax che trova in allegato a questo messaggio inviato dal numero in oggetto. Il fax è stato convertito in un documento di tipo PDF multipagina che può essere visualizzato e stampato.
Il nome del file indica l'anno, il mese, il giorno, l'ora di ricezione e il numero telefonico del mittente in modo che possa essere comodamente archiviato in ordine cronologico.
Per qualsiasi necessità può richiedere supporto chiamando il nostro numero verde 145.
Buon lavoro!
 

Versione breve: Se l'hai ricevuto anche tu, cestinalo! si tratta di un virus! L’attacco è stato riconosciuto in via ufficiosa anche dall’azienda stessa, da noi contattata telefonicamente.

Se hai qualche minuto, però, ti consiglio di proseguire nella lettura, perché dall’analisi di questa email derivano alcune considerazioni utili per non rimanere vittima del social engineering.
 

Come si può notare, il messaggio non contiene molti dei soliti elementi sospetti che dovrebbero farci decidere se cestinarlo.

Ricordiamoli, perché non fa mai male. Un messaggio deve apparirci sospetto e spingerci sempre a cancellarlo:
  1. se non è stato esplicitamente richiesto o se non siamo registrati al servizio che lo invia;
  2. se al suo interno ci sono eventuali link che puntano a siti diversi da quello istituzionale;
  3. se contiene eventuali numeri di telefono o indirizzi errati o palesemente falsificati;
  4. se la sintassi e l’ortografia del messaggio sono errate, in particolare se fanno pensare a software di traduzione automatica.
In questo caso, l’unico allarme viene dal punto 1, nel senso che Achab non usufruisce del servizio associato alla email. 
Per il resto, sembra in tutto e per tutto un messaggio legittimo. Analizziamo quindi lo zip allegato:
 


 
Contiene apparentemente un file PDF. L’icona non è quella standard del lettore PDF della mia macchina, ma non è una cosa che balza all’occhio a tutti (e sappiamo che spesso le icone di Windows fanno quello che vogliono, no?).
Il file appare così perché Windows ha di default l’opzione di nascondere le estensioni per i tipi di file sconosciuti (Opzioni Cartella, nel Pannello di Controllo):
 


 
Se la togliamo questo è il risultato:
 


 
Il file ha una doppia estensione, e in realtà è un .exe.
L’opzione di nascondere le estensioni nasce come modo per evitare che un utente inesperto possa modificare inavvertitamente l’estensione del file, così che il file non possa più essere aperto con il software associato. Il consiglio è di disabilitarla sempre, per avere un maggior controllo dei file sul nostro PC, anche perché l’opzione è a parer mio un retaggio di quando i computer non erano così diffusi e di uso comune (l’opzione era già presente in Windows 95!).
 
Ma torniamo al nostro file: la doppia estensione e il fatto che il file sia un eseguibile devono essere considerati segnali di pericolo enormi e farci immediatamente decidere per la cancellazione del messaggio e dell’allegato.

Come mai allora il nostro antivirus non lo ha rilevato?
 
Mettiamo il file su VirusTotal e vediamo quanti motori antivirus lo rilevano:
 


Solo due su cinquantatré: il virus è forse una nuova variante appena creata, probabilmente per un particolare target (ricordiamo che l’azienda che a prima vista sembra inviare il messaggio è italiana).
 
Questo deve farci riflettere sul funzionamento degli antivirus tradizionali: finché le firme non sono aggiornate, è come se non avessimo l’antivirus. Per questo è necessario scegliere fornitori affidabili che mettano al primo posto la ricerca e forniscano firme aggiornate il più frequentemente possibile, e aggiornare attivamente l’antivirus con altrettanta assiduità.
Diverso è il caso degli antivirus che utilizzano sandbox, come Webroot: in questo caso, anche se il virus non è ancora riconosciuto, viene tenuto sotto osservazione dal software, che gli impedisce di eseguire operazioni delicate o sospette (tipo l’invio di massa di messaggi o il keylogging) e permette di annullare eventuali modifiche da esso apportate al sistema.
 
Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (4)
guest
4 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Antonio Pace
Antonio Pace
7 anni fa

Ciao Furio,
alcuni nostri clienti, fortunatamente un numero irrisorio, hanno preso tale infezione che disabilita le porte USB e le unità ottiche.
Noi per rimuoverlo (magari può essere d’aiuto a qualcuno) abbiamo usato Microsoft Windows Defender offline che rileva il file infetto nella system32drivers e la chiave di registro relativo al servizio che viene creato. Con Malwarebyte’s viene messo in quarantena il file infetto ma non viene rimossa la chiave con il risultato che il sistema operativo non parte più.
Siccome anche noi abbiamo ricevuto tale mail ho voluto fare il test da "utente" dato che stiamo testando internamente Webroot… bhe… appena eseguito il file contenuto nel file zip viene rilevato e bloccato al volo (W32.Malware.Gen)!!!

Furio Borsi
Furio Borsi
7 anni fa

Ciao Antonio,
grazie del feedback. Per fortuna noi non abbiamo dovuto fronteggiare l’infezione perché i nostri utenti ci hanno chiesto di verificare *prima* di aprire il file (anche questa è una buona prassi per evitare infezioni, ma so che è utopia 🙂 ).
Ad ogni modo WebRoot in effetti bloccava il file già verso le 13, mentre altri antivirus non lo intercettano ancora mentre scrivo!
Però è importante sottolineare che WebRoot avrebbe tenuto sotto osservazione il file anche se lo avesse considerato "sconosciuto", permettendo quindi le azioni di creazione di file e chiave di registro, ma solo in modalità "sandbox" (ossia in un area di esecuzione isolata), e una volta avuta la conferma che il file fosse malware, avrebbe automaticamente rimosso le modifiche lasciando pulito il sistema.

Antonio Pace
Antonio Pace
7 anni fa

Ciao Furio,
in effetti alcuni clienti (pochi purtroppo!!!!) che hanno chiesto "cos’è questa mail? potete verificare?", qualcuno ha pensato bene di aprire l’allegato ma pazienza…
Concordo con te sulla caratteristica che secondo me rende molto interessante il prodotto, la sandbox, ed avendo avuto il piacere di partecipare alla webinary di Claudio relativo a Webroot e cryptlocker ho visto in azione tale caratteristica e devo dire che è spettacolare!!!

Furio Borsi
Furio Borsi
7 anni fa

Ciao Antonio,
credo che Claudio abbia in mente alcune altre iniziative, quindi continua a seguirci!
buon lavoro!

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative