Attenzione! Nuovo trojan in circolazione.
Il suo nome è Malware Ursnif e nelle ultime ore è stato scoperto come agisce e come si diffonde.
Premessa prima di cominciare: non si tratta di un trojan “nuovo”, perché appartiene ad una ”famiglia” già conosciuta. Questa è solo l’ultima variante scoperta.
Caratteristiche:
Riesce ad infiltrarsi nel dispositivo e prelevare le password di accesso a piattaforme e siti importanti, come la posta elettronica e l’home banking.
I danni che può fare sono facilmente intuibili.
Come agisce:
Grazie all’utilizzo dell’indirizzo mail, invia risposte infettate a mail precedentemente ricevute dalla vittima con l’intento di diffondersi a macchia d’olio.
Come è prevedibile i riceventi alla mail, vedendo un nome fidato, la apriranno più facilmente e saranno anch’essi infettati.
Tale mail riporta sempre lo stesso testo:
Buongiorno,
Vedi allegato e di confermare
Mentre l’oggetto varia ovviamente, modificandosi in base al tipo di mail a cui risponde. Se quindi la mail iniziale riporta l’oggetto “ciao”, la mail infetta vedrà come oggetto “Re: ciao”.
In allegato alla mail si trova un file DOC nominato “Richiesta.DOC”, oppure “-Richiesta.Doc”.
Questo file contiene al suo interno una MACRO AutoOpen , che eseguendo il file CMD.EXE riesce ad avviare PowerShell.
Il cmd.exe esegue uno script di Powershell che fa partire il download dell’Ursnif e lo scarica nella cartella C:\Users\Public\ seguita da un numero (ad esempio C:\Users\Public\1111222.exe)
Salvato successivamente in una cartella di %USERPROFILE%\APPDATA\ROAMING\MICROSOFT si mette in esecuzione automatica.
Cosa possiamo fare?
Se si viene infettati è sempre bene contattare degli esperti nel campo IT per sistemare la situazione. Dopo la bonifica inoltre è importante cambiare le password di tutti i siti utilizzati che contengono dati sensibili (contattare la propria banca e chiedere un cambiamento dei codici d’accesso è fondamentale).
Ma queste sono contromisure in caso di infezione!
Come possiamo fare per non venire infettati?
Intanto è bene imparare a riconoscere le minacce quando ce le troviamo davanti.
Se in una mail vediamo in allegato un file ZIP, diffidiamo sempre (ricordatevi che una mail maligna riesce ad avere successo solo se l’allegato viene aperto, in caso contrario è innocua).
Inoltre è importante, per le aziende, utilizzare sistemi di protezione che bloccano questo tipo di minaccia alla radice.
Avecto DefendPoint è la migliore soluzione per questo tipo di difesa.
Non permettendo a file sospetti (anche non conosciuti) di essere aperti, Avecto protegge anche gli utenti più distratti.
Proteggi la tua rete da malware e ransomware grazie ad Avecto DefendPoint.
Contatta Tekapp per richiedere un preventivo.
#innovazione #sicurezza #tecnologia #informatica #avecto #tekapp #cybersecurity