Diffusa a livello globale, la nuova campagna di phishing individuata da Bitdefender infetta i dispositivi mascherandosi da fatture QuickBooks. Questi attacchi di phishing stanno prendendo di mira gli utenti del popolare software di contabilità nel tentativo di infettare i dispositivi delle vittime con il Trojan bancario Dridex. Individuata da Bitdefender Antispam Lab, questa recente campagna di malspam, sfruttando la società Intuit, attira gli utenti di QuickBooks con false notifiche di pagamento e fatture.
Bitdefender indaga sugli attacchi phishing QuickBooks
La campagna di phishing attualmente ancora in corso è iniziata il 19 aprile, prendendo di mira gli utenti QuickBooks di tutto il mondo. Nel complesso, le email dannose hanno raggiunto Stati Uniti, Corea del Sud, Germania e India, Regno Unito e Francia, l’Italia, Svezia, Canada, Belgio, Austria, Svizzera e Paesi Bassi. Più della metà delle e-mail contraffate provengono da indirizzi IP in Italia. I criminali hanno falsificato l’indirizzo del mittente (‘quickbooks@xxxx.intuit.com’), facendo sembrare autentici i messaggi. Per aggirare le soluzioni di rilevamento, i criminali informatici ‘giocano’ con le righe dell’oggetto e i nomi dei mittenti.
Bitdefender attacchi phishing QuickBooks
Per esempio, email che hanno come oggetto “Fattura 349281”, “Notifica di pagamento – Fattura 001779” e “Reminder: Fattura 017854” o similari sono solo alcune delle varianti utilizzate dai criminali informatici. Gli hacker hanno anche adattato il contenuto delle email nel tentativo di superare i meccanismi anti-phishing e anti-spam. Ecco alcuni esempi:
- In allegato una copia della tua fattura! Ti preghiamo di effettuare il pagamento in tempi rapidi.
- L’ordine sarà consegnato al ricevimento del pagamento.
- In allegato la fattura per la tua revisione e per procedere al pagamento.
- Trovi in allegato la tua fattura. Si prega di effettuare il pagamento il più presto possible.
Come distinguere le email dannose
Le email contengono un allegato in formato Microsoft Excel apparentemente innocuo. In realtà contiene una minaccia nascosta. Una macro dannosa all’interno del file .xls lancia un dropper Trojan che infetta il dispositivo della vittima con Dridex. Dridex è un Trojan bancario, comunemente inviato tramite email di phishing contenenti documenti Microsoft Word ed Excel dannosi. Questo pericoloso software ruba informazioni riservate alle vittime. Comprese le credenziali bancarie che i criminali informatici possono utilizzare per accedere ai conti bancari ed effettuare transazioni fraudolente.
Anche se l’obiettivo primario di questo Trojan bancario è quello di rubare le informazioni bancarie alle vittime, i criminali informatici hanno continuato ad aggiornare il software negli ultimi dieci anni.
Dridex
Dal 2020, Dridex è stato infatti utilizzato anche per inviare ransomware al fine di massimizzare i guadagni. I cybercriminali hanno spesso mascherato le loro campagne di phishing utilizzando i nomi di aziende legittime e ben note per assicurarsi il successo della campagna. Le email che imitano una regolare fattura QuickBooks che piccole e medie aziende sono abituate a ricevere, possono avere gravi conseguenze.
Lo sfruttamento di un noto strumento di contabilità
Utenti distratti possono trovarsi addebiti illeciti sulle carte di credito o trasferimenti dai conti aziendali. Persino violazioni di dati che possono compromettere l’intera rete e la base di clienti di un’azienda. Questa campagna di malware ancora attiva, che sfrutta la popolarità dello strumento di contabilità statunitense utilizzato da oltre 2 milioni di piccole imprese in tutto il mondo, non è nuova. Le campagne di malware a tema QuickBooks di solito hanno un picco durante la stagione della dichiarazione delle tasse, nella speranza di cogliere gli utenti alla sprovvista.