Diffusione Malware da account eMail della Zecca dello Stato

Zecca_Infografica

L’Infografica in apertura riepiloga quanto rilevato durante il monitoraggio quotidiano della diffusione del Phishing e Malware, in data 6 Settembre 2016 è avvenuto un tentativo di diffusione malware sfruttando un legittimo account eMail dell’Istituto Poligrafico e Zecca dello Stato e i suoi server mail. L’eMail richiedeva all’utente il pagamento di una fattura arretrata indicando che poteva visualizzare tutti i dettagli nel file allegato.

Fortunatamente è intervenuto il server eMail della Zecca dello Stato che ha rilevato l’invio di un contenuto malevolo, procedendo quindi a “troncare” l’archivio impedendo la diffusione del file Roma-Consulting.wsf che probabilmente avrebbe effettuato il download di un eseguibile ed eseguito. Nonostante il vano tentativo, gli aggressori potrebbero cambiare il metodo di diffusione per aggirare i controlli del server eMail; basti pensare alla richiesta di visitare un sito internet contenente un eseguibile (per esempio abbiamo visto sfruttare questa tecnica ai danni di GLS) piuttosto che allegarlo.

La nostra attenzione è ricaduta sul server sfruttato per inviare l’eMail, falsificare il mittente di una eMail è notoriamente facile ma se la mail e il server mittente coincide con il dominio della mail vi sono soltanto due possibili spiegazioni. Hanno violato il server o hanno violato l’account. Dal medesimo server eMail non abbiamo ricevuto nessun altro genere di comunicazione malevola (phishing, spam, ecc) e pertanto la nostra attenzione si è soffermata sulla seconda ipotesi.

Nascono ora due distinte possibilità di attacco, la vittima è stata infettata da un Trojan che ha provveduto ad inviare le Mail a sua insaputa o a diffondere la password del suo account. Oppure l’utente ha sfruttato la stessa password dell’account aziendale anche per altri servizi. Negli ultimi mesi nel Deep Web, ma non solo, si stanno diffondendo importanti archivi di password e account provenienti dai più noti portali online, Linkedin è probabilmente l’esempio più lampante ma non scordiamoci di DropBox, Trenitalia, Badoo, MySpace e mentre scriviamo questo articolo anche la più utilizzata eMail Italiana, Libero, ha comunicato che il suo database è stato violato.

Abbiamo verificato nel Database di Linkedin e come è possibile visualizzare dall’Infografia la casella eMail sfruttata per inviare il malware è presente e anche la sua relativa password, oltre ad essa sono presenti altre 46 caselle della Zecca dello Stato.

È quindi possibile che l’utente in questione sfrutti la medesima password per accedere alla Casella di Posta Elettronica della Zecca dello Stato sia su Linkedin, gli attaccanti hanno sfruttato questa debolezza per inviare diverse eMail da un mail server autorevole.