ESET individua nuove campagne del trojan bancario DanaBot, attività dirette verso alcuni paesi europei, tra cui l’Italia, e che interessano diversi istituti di credito.
Il malware, osservato per la prima volta a maggio 2018 in Australia e in seguito in Polonia, sta ulteriormente dilagando e ha colpito Germania, Francia e Ucraina, oltre che il nostro paese. Per poter infettare le vittime, i criminali sfruttano e-mail piuttosto plausibili che contengono delle false fatture emesse da diverse aziende. La campagna utilizza una combinazione di script PowerShell e VBS ampiamente noti come il Brushaloader.
DanaBot è scritto in Delphi e ha un’architettura multilivello e multicomponente, con la maggior parte delle sue funzionalità che vengono implementate attraverso dei plug-in.
Domini italiani e Webmail interessati
Secondo i dati dei ricercatori di ESET i domini delle banche italiane minacciati da DanaBot sono: credem.it, bancaeuro.it, csebo.it, inbank.it, bancopostaimpresaonline.poste.it, bancobpm.it, bancopopolare.it,ubibanca.com, icbpi.it, bnl.it, banking4you.it,bancagenerali.it, ibbweb.tecmarket.it, finecobank.com, gruppocarige.it, popso.it, bpergroup.net, credit-agricole.it, cariparma.it, chebanca.it, creval.it, bancaprossima.com, intesasanpaoloprivatebanking.com, intesasanpaolo.com, hellobank.it
Da notare che nella configurazione del malware vengono utilizzati caratteri speciali, quindi questo elenco contiene solo i portali che possono essere identificati in modo certo.
Le Webmail coinvolte dalla minaccia DanaBot sono: mail.vianova.it, mail.tecnocasa.it, MDaemon Webmail, email.it, outlook.live.com, mail.one.com, tim.it, mail.google, tiscali.it, roundcube, horde, webmail*.eu, webmail*.it
I consigli degli esperti di ESET per non cadere nella trappola del phishing
Come accennato sopra, DanaBot ha ingannato numerosi utenti grazie a testi di email phishing piuttosto plausibili e verosimili. In generale però ci sono dei campanelli di avviso che dovrebbero allertare gli utenti ed evitare di cadere nella rete dei cyber criminali. Proprio per questo i ricercatori di ESET hanno individuato 5 semplici consigli da seguire:
1. Massima prudenza durante la navigazione online
Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione on-line e nel leggere le e-mail. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati e-mail, anche se sembrano provenire da una fonte nota e attendibile.
2. Attenzione ai link abbreviati
È importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.
Gli esperti di ESET consigliano di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito che di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.
I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
3. Dubbi su un messaggio di posta? Leggerlo di nuovo!
Le e-mail di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre, hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente ‘, seguiti da contenuto non plausibile o fuori contesto.
I cybercriminali spesso commettono errori in queste e-mail, a volte anche intenzionalmente per superare i filtri antispam dei provider.
4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti
Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Di solito le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing. Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto.
5. Navigare sicuri sul protocollo HTTPS
Si dovrebbe sempre, ove possibile, usare un sito web sicuro per navigare (indicato da https: // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser), soprattutto quando si trasmettono delle informazioni sensibili online come ad esempio i dati della carta di credito.
Non si dovrebbe mai usare una rete WiFi pubblica per accedere al proprio conto bancario, per acquistare o immettere informazioni personali online. In caso di dubbio, utilizzare la connessione 3/4G o LTE del proprio dispositivo.