- Home
- Cybersecurity
- Quando PEC è diventato l’acronimo di Può Essere Compromessa
Quando PEC è diventato l’acronimo di Può Essere Compromessa
| Biagio Tagliaferro | cybersecurity
#CybersecurityCafé
di Biagio Tagliaferro, CERT-PA
Chi utilizza Internet sa bene che deve costantemente prestare attenzione ai banner con invito a cliccare, ai messaggi di una vincita milionaria che riguarda il milionesimo visitatore o ai tentativi di phishing via email. Ma cosa fare quando l’email è autentica, non v’è spoofing del mittente e soprattutto è una PEC?
Probabilmente dal mese di novembre si potrebbe associare all’acronimo della posta certificata il significato di “Può Essere Compromessa”. A partire dai primi giorni di novembre, infatti, l’intero paese è stato vittima di una massiva campagna di malspam avente come obiettivo le caselle PEC italiane. L’oggetto delle email variava da diciture meno probabili tipo “20170807-Eseguito_Bonifico_Europeo_Unico_0000_11075” a frasi più realistiche come “Re: 18313_091118 – Trasmissione Avviso regionale di protezione civile per il rischio meteo-idrogeologico e idraulico” rendendo, così, più credibile l’autenticità del messaggio ricevuto.
Sebbene siano state molteplici le varianti dei messaggi inviati, le tipologie di email analizzate dal CERT-PA sono sostanzialmente due: 1.un messaggio contenente un allegato PDF riportante la dicitura “This page is intentionally blank” ed un file VBS a cui era affidato il compito di scaricare due file: un’immagine innocua prelevata da un noto sito di recensioni per ristoranti ed un file malevolo vero e proprio. Quest’ultimo veniva salvato col nome di SysComponent.v658.exe nella cartella creata all’occorrenza col nome skwyq472 tra i file temporanei della macchina compromessa e, successivamente, eseguito; 2. un messaggio contenente un allegato PDF avente la stessa dicitura del caso 1 ed un file JS il quale, anche in questo caso effettuava il download di due file: una fattura ed il file malevolo che veniva salvato questa volta col nome di searchStranam596.exe in una cartella creata ad hoc tra i file temporanei ed eseguito al termine del download.
In ognuno dei due casi riportati, i dropper (JS e VBS) contenevano codice offuscato proprio per salvaguardare le url contenenti il malware al fine di assicurarne una longeva attività (malevola). In questo modo, infatti, i siti ospitanti i file malevoli emergevano solo dopo un’attenta opera di deoffuscamento del codice.
Infine, analizzando i sample scaricati è emersa una corrispondenza con la famiglia di Gootkit, un trojan in grado di rendersi quasi invisibile all’interno della macchina infetta, i cui unici intenti sono quelli di trafugare credenziali e informazioni confidenziali, aprire una backdoor all’interno del target compromesso ed aggiungere file al sistema.
Considerato l’utilizzo di PEC come modus operandi sfruttato da questa campagna è plausibile la semplicità con cui si può venire infettati ma, al contempo, è bene ricordare che utilizzare la PEC per inviare un messaggio non certifica l’autenticità del testo, bensì ne garantisce l’integrità e l’avvenuta/mancata consegna.
Anche in questo caso, la regola del buon senso ci viene in aiuto per determinare l’affidabilità di un’email e se dovesse emergere il minimo dubbio è buona norma accertarsi, magari telefonicamente, dell’autenticità del messaggio.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 12/2018Editoriale
-
Bambini riabilitati e felici grazie ai robotcaffè scientifico
-
AI: cos’è (e cosa non é) e perché tutti ne parlanocaffè scientifico
-
Come AI e robotica cambieranno le nostre vitecaffè scientifico
-
Ci vediamo su WebMeetings!servizi alla comunità
-
Con eduroam tutto il mondo è Wi-Fiservizi alla comunità
-
Il robot e la retecaffè scientifico
-
Bye bye copyrightservizi alla comunità
-
La rivoluzione archeologica è alle portela voce della comunità
-
Oltre i confini della scuolala voce della comunità
-
Giovani talenti d’innovazionela voce della comunità
-
EPOS ERIC :: nasce il consorzio europeola voce della comunità
-
Plan S :: dai principi all’attuazionela voce della comunità
-
Escape :: la nuvola che libera i datila voce della comunità
-
Tecnologia :: è made in Italy il supercomputer Ue per la fusionela voce della comunità
-
Piccole medie digitali per imparare i vantaggi della retela voce della comunità
-
Direzione Terabitosservatorio della rete
-
Big Science: arriva l’iperconnessione a 200 Gbpsosservatorio della rete
-
Pen test: la miglior difesa è l’attaccocybersecurity
-
Cybersecurity? È una questione di fiduciacybersecurity
-
Indirizzi IP: una risorsa preziosacybersecurity
-
Quando PEC è diventato l’acronimo di Può Essere Compromessacybersecurity
-
Hack the Cloud: quando la sfida è tra le nuvolela nuvola della ricerca e istruzione
-
Il futuro del supercomputing? È (anche) made in Europeinternazionale
-
Il giorno dell’Open Science europeainternazionale
-
L’insegnamento musicale cambia a tempo di Swingpillole di rete
-
Al via EllaLink, nel 2020 collegherà Europa e America Latinapillole di rete
-
CESNET, dalla Repubblica Ceca in arrivo il video superveloce a 8kpillole di rete
-
IGF 2018: la fiducia ai tempi di Internetieri, oggi, domani
-
Conferenza GARR 2019agenda
-
TNC 2019 - Forging Digital Societiesagenda
-
Cloud Services for Synchronisation and Sharingagenda
-
Idee per innovare in rete. Dalle prime MAN ad oggi: valori e modelli da condividereagenda
Articoli nella rubrica
-
di Pier Luca Montessoro
-
di Claudia Battista
-
di Simona Venuti
-
di Biagio Tagliaferro
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009