Black Lives Matter: le email usate per diffondere malware

Avatar utente

Topic Author
openresource
Administrator
Administrator
Connesso: No
User theme: Light
Messaggi: 309
Iscritto il: mar gen 28, 2020 9:52 pm
Località: varese

Admin

Black Lives Matter: le email usate per diffondere malware

Messaggio da openresource »

Immagine¨

Come da tradizione i Criminal Hacker si stanno di nuovo impadronendo delle notizie di punta per capitalizzare al massimo i loro sforzi, questa volta con una campagna di phishing a tema Black Lives Matter che in realtà non è altro che un tramite per il malware TrickBot.

Secondo uno studio che arriva dalla Svizzera, gli aggressori  si spacciano per funzionari governativi, nel tentativo di attirare le vittime a cliccare su un allegato malevolo in un’e-mail.

I messaggi utilizzano un oggetto che richiama al movimento come “Vota in maniera anonima su Black Lives Matter”, o “Lascia una recensione confidenziale su Black Lives Matter”, e pretendono di contenere un sondaggio.

Secondo i documenti campione della campagna, l’allegato, se aperto, mostra un pulsante che invita i destinatari ad “Abilitare la modifica” o “Abilitare il contenuto”.

Se cliccato, il pulsante attiva le macro dannose che a loro volta scaricano TrickBot, sotto forma di libreria dannosa (file .DLL).

TrickBot è un ceppo di malware modulare in rapida evoluzione che esiste dal 2016 e che ha iniziato la sua vita come trojan bancario. Nel corso del tempo, ha gradualmente esteso le sue funzioni per includere la raccolta di credenziali dalle e-mail della vittima, dai browser e dalle applicazioni di rete installate.

Il malware si è inoltre evoluto per aggiungere altri moduli e fare da veicolo di distribuzione per altri malware.

Per esempio, all’inizio di questo mese, una nuova backdoor che i ricercatori chiamano “BazarBackdoor” è stata aggiunta all’arsenale di TrickBot; e a gennaio, i ricercatori hanno scoperto che gli operatori del malware utilizzavano anche “PowerTrick” che ha aiutato il malware a condurre una ricognizione di istituzioni finanziarie mirate.

Perché BLM
I Criminal Hacker, alla ricerca ogni giorno di un veloce guadagno, spesso si agganciano a movimenti popolari, avvenimenti politici o eventi sportivi per capitalizzare l’interesse della gente per un determinato argomento.

Questo accade regolarmente con il Super Bowl e i Mondiali di calcio; e più recentemente, i truffatori hanno adottato una serie di esche a tema COVID-19 e coronavirus per attirare l’interesse dei destinatari delle e-mail.

La campagna a tema BLM non è comunque l’unica in circolazione.

Sono stati infatti già rilevati un numero crescente domini appena registrati che includono le  parole “blacklives” e “georgefloyd”, come blacklivematterfund[.]com e thegeorgefloydfundation[.]net.

Da giovedì scorso, in media, sono comparse 49 nuove registrazioni di domini contenenti una delle due parole ogni giorno. Molte sono probabilmente legittime, ma molte probabilmente non lo sono.

Solitamente questo tipo di dominio potrebbe finire per essere usato come trappola per il phishing, dove le vittime vengono ingannate per inviare denaro a un fondo o a una fondazione fasulla.

In generale, le aziende e gli utenti finali devono essere consapevoli di questo tipo di campagne “di notizie del giorno”.

L’ultima campagna di distribuzione di TrickBot sottolinea la necessità per le organizzazioni di continuare a difendersi dagli attacchi di phishing con il giusto mix di awerness e formazione dei propri dipendenti.



Immagine