Gli hacker russi stanno prendendo di mira le email degli Stati Uniti con malware di phishing

Gli hacker stanno prendendo di mira gli account e-mail statunitensi ed europei con un nuovo malware di phishing, secondo uno studio condotto dai ricercatori sulla cibersicurezza all'Unità 42 di Palo Alto Networks. Denominato "Cannon", il malware è in circolazione da ottobre, raccogliendo schermate e altre informazioni da i PC delle vittime ignare e rimandarle agli agenti russi.

Sfruttando una classica tattica di ingegneria sociale , "Cannon" invia e-mail di phishing e coinvolge le vittime nell'invio di messaggi su eventi di notizie recenti come lo schianto di un aereo di linea in Indonesia . Le e-mail contengono anche un allegato a un vecchio documento di Microsoft Word formattato che richiede la macro funzionalità per l'apertura del file. Una volta che la vittima apre il file e abilita le macro, viene eseguito un codice e un malware trojan si diffonde e infetta un computer ogni volta che Word viene chiuso.

Una volta che il trojan malware è in esecuzione, raccoglierà schermate del desktop del PC in intervalli di 10 secondi e le informazioni di sistema ogni 300 secondi. Quindi, accede a un account di posta elettronica POP3 primario, a un account di posta elettronica POP3 secondario e tenta di ottenere il percorso di download per le informazioni scaricate. Infine, sposta tutti gli allegati su un percorso specifico e crea un processo che invia l'e-mail con tutti gli allegati.

"Alla fine di ottobre e agli inizi di novembre 2018, l'Unità 42 ha intercettato una serie di documenti armati che utilizzavano una tecnica per caricare modelli remoti contenenti una macro dannosa. Questi tipi di documenti armati non sono rari, ma sono più difficili da identificare come malevoli dai sistemi di analisi automatizzati a causa della loro natura modulare. Specifico per questa tecnica, se il server C2 non è disponibile al momento dell'esecuzione, il codice dannoso non può essere recuperato, rendendo il documento di consegna in gran parte benigno ", spiega l'unità di ricerca dell'unità 42.

"Cannon" sembra essere collegato a Sofacy, un gruppo di hacker che ha precedentemente distribuito "Zebrocy" e altri malware simili collegati al governo russo. Per proteggersi da questi tipi di attacchi di phishing, è sempre meglio evitare l'apertura di e-mail da indirizzi e-mail sospetti. Anche se Microsoft ha preso provvedimenti per bloccare i macro dannosi , è anche meglio non usare la funzione ed evitarla interamente. Dovresti anche tenere aggiornato il tuo antivirus e assicurarti che tu stia utilizzando le ultime versioni di Windows 10.

• Smishing sembra divertente, ma è una seria minaccia alla sicurezza del tuo telefono
• Nel cyberwar mobile, gli hacker preferiscono phishing piuttosto che inviare malware

( Fonte )