I laboratori Kaspersky hanno scoperto che è in atto una estesa campagna di cyberspionaggio denominata Grabit che sta interessando numerose PMI in diversi Paesi. In particolare sono state colpite le PMI in Thailandia, India e Stati Uniti, ma nel mirino sono finite anche imprese di Emirati Arabi Uniti, Germania, Israele, Canada, Francia, Austria, Sri Lanka, Cile e Belgio che operano in svariati settori.
Morten Lehn, Managing Director di Kaspersky Lab Italia
Abbiamo osservato molte campagne di cyberspionaggio concentrate su grandi aziende, enti governativi e altre realtà di alto profilo dalle quali erano però escluse le piccole e medie imprese. Grabit, invece, ci ha dimostrato che il cybercrimine non è un gioco che include solo i cosiddetti “pesci grossi” – nel mondo informatico ogni singola organizzazione che gestisce soldi, informazioni o potere politico è potenzialmente interessante per i criminali informatici. Grabit è ancora attivo per cui è davvero importante controllare la propria rete per accertarsi che sia sicura. Il 15 maggio scorso un semplice keylogger noto come Grabit è stato scoperto mentre tentatava di impossessarsi delle credenziali di migliaia di account sfruttando diversi sistemi infetti. Questa minaccia non deve essere sottovalutata.
L’obiettivo dei criminali è sottrarre password, email e host sfruttando un keylogger. L’infezione comincia quando un dipendente di un’azienda riceve una email con un allegato che sembra un file Word Microsoft Office (.doc). Nel momento in cui l’utente clicca sul documento per procedere con il dowload, il programma spia viene inviato al PC da un server remoto che è stato precedentemente violato dai criminali per essere sfruttato come hub malware. Il cybercriminale controlla le sue vittime utilizzando il keylogger HawkEye, un tool di spionaggio commerciale di HawkEyeProducts e un modulo di configurazione contenente un numero RAT (Remote Administration Tools).
Per tutelarsi da Grabit, Kaspersky Lab raccomanda di seguire alcune semplici regole:
- Сontrollare se la collocazione C:\Users\AppData\Roaming\Microsoft contiene file eseguibili. In questo caso è possibile che ci sia stata l’infezione malware. Questo avvertimento non va ignorato.
- Le configurazioni Windows System non devono contenere grabit1.exe nella schermata di avvio. Avviare “msconfig” ed assicurarsi che sia pulito da record grabit1.exe.
- Non aprire allegati o link inviati da persone che non si conoscono. Se non è possibile non aprirli, non inoltrarli ad altri e chiamare un amministratore IT che sia in grado di aiutarvi.
- Usare una soluzione anti-malware avanzata e aggiornata e seguire sempre l’elenco AV indicato per processi sospetti.