Regalo (virtuale) per San Valentino? Occhio al malware!

13 Febbraio 2021 Nicola Fioranelli
Nuovo malware per San Valentino

È in arrivo San Valentino e con lui un nuovo attacco con il nome di BazaLoader, un malware in grado di scaricare moduli aggiuntivi una volta arrivato nel dispositivo finale grazie a una comunicazione di invio ordine da parte di un fiorista: un regalo perfetto!

Abbiamo già parlato in un altro articolo dell’ingegneria sociale e di quanto sia insidiosa proprio perché studia le debolezze degli utenti per tendere le trappole migliori a cui non si può scappare. San Valentino è la festa degli innamorati e una sorpresa è quanto di più gradito da ricevere dal proprio compagno o dalla propria compagna: magari un mazzo di fiori direttamente a casa!

Le festività cattive maestre

Purtroppo, i periodi di ferie o le festività durante l’anno vengono viste come particolarmente propizie dagli attaccanti. Probabilmente il maggior tempo libero e magari la stanchezza accumulata da tanti giorni di lavoro ci fanno vivere con più leggerezza queste giornate. Ad esempio leggendo con meno attenzione le e-mail che ci arrivano o dando meno importanza ai loro contenuti. Come al solito, però, la maggior parte degli attacchi sociali si celano dietro le disattenzioni più banali che fanno sì che del software malevolo riesca ad avere la meglio sui nostri sistemi.

Nella sua analisi Positive Technology evidenzia un deciso incremento della quantità di attacchi a ridosso delle festività. In particolare, i picchi più elevati si registrano proprio nella terza settimana di ottobre, a ridosso di Halloween e tra la seconda e la terza settimana di dicembre, in vista dell’arrivo del Natale.

Andamento degli attacchi durante il quarto trimestre del 2019.
In grigio la curva data dalla somma di tutti gli attacchi nel quarto trimestre del 2019. I valori più alti si trovano in prossimità delle feste come Halloween e poco prima di Natale.

San Valentino non si salva! Seppur molto meno inflazionata rispetto alle classiche feste del calendario è sempre un buon momento per colpire inavvertitamente milioni di coppie innamorate. Le scuse, come possiamo bene immaginare sono molteplici e un regalo è sempre ben accetto. Con questo criterio gli attaccanti possono creare mail ad-hoc da spedire prima dell’arrivo del 14 febbraio.

Ma non è solo il phishing a farla da padrone. Purtroppo, l’FBI mette sempre più spesso in guardia dalla presenza di truffatori in cerca di una storia d’amore sul web. Con un velo di romanticismo tentano di accalappiare giovani prede per avere tornaconti economici. San Valentino è un’occasione ghiotta per trovare l’anima gemella e lo stato d’isolamento generato dalla pandemia di Covid-19 ne ha solo aumentato la potenza.

BazaLoader e San Valentino

Torniamo al nostro malware d’amore e cerchiamo di capire come ci inganna. La catena d’attacco ha origine da una mail proveniente da un negozio di fiori o di intimo con la descrizione di un ordine a nostro conto. La mail contiene un file PDF con un numero identificativo e tutte le informazioni su una possibile spedizione nei giorni seguenti. Il sito del fornitore offre anche la possibilità di suigre lo stato dell’ordine. Tuttavia, arrivati alla pagina di ricerca partirà un download e nel frattempo ci troveremo di fronte a una guida su come aprire correttamente il file.

L’Excel scaricato in realtà contiene una macro molto pericolosa. Una macro è un’azione o un insieme di azioni che è possibile eseguire in modo illimitato. Tipicamente le macro vengono disattivate su Office, proprio a causa della loro imprevedibilità, soprattutto se non siamo in grado di controllare l’autore del documento. Invece, i nostri cattivi nella loro guida ci spiegano proprio come fare per attivare le macro del foglio Excel così che il Trojan vero e proprio, BazaLoader, possa essere scaricato liberamente.

BazaLoader, il malware di San Valentino in grado di scaricare componenti aggiuntivi sui nostri dispositivi.
Tramite un finto ordine di San Valentino sottoforma di regalo, il malware arriva nei nostri PC con un’astuta tecnica di social engineering.

Malware simili in giro per la rete

BazaLoader è scritto in C++ ma i ricercatori di ProofPoint non lasciano capire cosa viene scaricato dopo questo primo stadio di infezione. Infatti, questo malware è di fatto soltanto la punta dell’iceberg di un attacco potenzialmente molto più grande. Sappiamo ancora poco di quel che c’è sotto anche perché è girato in rete soltanto in una campagna verso ottobre ed ora in vista della festa degli innamorati. Tuttavia, gli esperti hanno notato una similarità nel codice con un altro Trojan che ha veicolato soprattutto ransomware: TrickBot.

Continueremo a monitorare l’evoluzione di questo downloader che, effettivamente, si basa troppo sull’esperienza con l’utente per poter essere efficace. Di sicuro è che le feste aiutano gli attaccanti che sfruttano i nostri desideri e la curiosità di conoscere i potenziali regali degli spasimanti.

In conclusione, quindi, rimaniamo sempre vigili quando apriamo mail o documenti di cui non siamo sicuri e nel caso facciamo una chiamata al mittente (vero o presunto): potrebbe salvarci da guai più seri!

Tags: , ,