Attenzione a una nuova mail fraudolenta. "Sono state distribuite in un periodo di circa 7 ore nella giornata del 17 gennaio 2018, principalmente verso indirizzi di posta elettronica appartenenti al dominio di primo livello generico (gTLD) 'com' e a diversi domini di primo livello nazionali (ccTLD)", si legge in un comunicato.
Tra i paesi oggetto di attacco ci sono Francia, Regno Unito e Australia. Il team del Cert (Computer Emergency Response Team) sottolinea però che "anche l’Italia appare in una certa misura colpita". Si tratta di "una nuova campagna di distribuzione di una variante del noto trojan bancario Dridex". I domini di provenienza delle email "fanno capo ad account di posta elettronica compromessi. Allo scopo di rendere i messaggi meno sospetti, i nomi dei mittenti sono scelti dalla lista seguente: admin@, billing@, help@, info@, mail@, no-reply@, sale@, support@ e ticket@".
E ancora: "Le email contengono nel corpo del messaggio un link a un documento ospitato su un server FTP controllato dagli attaccanti. Le credenziali per l’autenticazione ai server FTP sono contenute in chiaro direttamente negli indirizzi utilizzati, segno che gli autori della campagna non si preoccupano di esporre i server già compromessi allo sfruttamento potenziale da parte di altri gruppi di cybercriminali. Gli analisti ritengono che questo sia dovuto principalmente all’ampia disponibilità di server FTP con credenziali compromesse".
I file scaricati via FTP sono di due tipi: "Il primo è un documento di Microsoft Word (estensione '.doc')" che eseguirà un comando per scaricare il malware Dridex sul Pc. Il secondo è un documento di Microsoft Excel (estensione '.xls'), contenente uno script dannoso. "Come sempre si raccomanda agli utenti di esercitare estrema cautela riguardo email di provenienza sospetta, di non aprire mai gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche all’apparenza innocui", dicono gli esperti.