Arriva un nuovo malware che prende il nome del mago oscuro (Voldermort) della saga Harry Potter!
Nella famosa saga di Harry Potter il mago oscuro più temuto di sempre è Lord Voldemort. Incute così tanta paura che la maggior parte delle persone addirittura rifiuta di pronunciare il suo nome.
Sarà per questo che i criminali informatici hanno scelto proprio il nome Voldemort per il nuovo malware che ha già colpito oltre 70 organizzazioni nel mondo, inclusa l’Italia, fingendo di essere il Fisco.
La campagna malevola si basa su e-mail di phishing, nelle quali si dichiara la presenza di informazioni fiscali aggiornate con link e documenti associati. Iniziata il 5 agosto scorso, in pochi mesi ha diffuso oltre 20.000 email a più di 70 organizzazioni mirate, raggiungendone 6.000 in un solo giorno al culmine della sua attività.
Secondo gli esperti di sicurezza, gli aggressori creano mail di phishing che impersonano le autorità fiscali di un paese e comunicano che ci sono informazioni fiscali aggiornate includendo link a documenti associati. Se la vittima interagisce viene indirizzata su un sito malevolo e scarica il malware.
Voldemort supporta una serie di comandi e azioni di gestione dei file, tra cui l’esfiltrazione di dati e l’eliminazione di file. Secondo l’analisi, oltre la metà delle organizzazioni prese di mira appartengono ai settori assicurativo, aerospaziale, dei trasporti e dell’istruzione. L’attore della minaccia dietro questa campagna è sconosciuto, ma gli esperti ritengono che abbia l’obiettivo di condurre uno spionaggio informatico. Circostanza che fa pensare che dietro questa campagna malevola si possa nascondere “il vero Voldemort”, cioè un attore più minaccioso di quanto appare, ovvero un’entità criminale che riesce a stabilire una presenza illecita, e duratura nel tempo, all’interno di una rete aziendale con l’obiettivo di raccogliere informazioni sensibili.
“Voldemort – si legge sul sito di Federprivacy – è una backdoor personalizzata con capacità di raccolta di informazioni e di rilascio di payload aggiuntivi. Gli analisti hanno messo in relazione la lingua delle e-mail con le informazioni pubbliche disponibili su un numero selezionato di obiettivi, scoprendo che i cybercriminali hanno preso di mira le vittime previste secondo il loro paese di residenza, e non quello in cui opera l’azienda, o in base alla nazione o lingua che potevano essere recuperati dall’indirizzo e-mail”.
Tra le più colpite dal Malware le agenzie fiscali negli Stati Uniti (Internal Revenue Service), in Italia (Agenzia delle Entrate), nel Regno Unito (Hm Revenue & Customs), in Francia (Direction Générale des Finances Publiques) e in Germania (Bundeszentralamt für Steuern). Successivamente la campagna ha anche colpito India (Income Tax Department) e Giappone (National Tax Agency).
La catena di attacco comprende diverse tecniche attualmente diffuse nel panorama delle minacce, oltre a metodi non comuni per il comando e il controllo (C2) come l’uso di Google Sheets. Particolarmente rilevanti sono la combinazione di tattiche, tecniche e procedure (Ttp), i temi di richiamo che impersonano agenzie governative di vari Paesi e la strana denominazione dei file e delle password come “test”.
Come difendersi
In attesa che questo malware sia debellato, è necessario limitare il più possibile l’accesso ai servizi di condivisione di file esterni. Ma la difesa più efficace da mettere in atto è quella del rafforzamento del fattore umano che rimane ancora l’anello debole della catena di sicurezza sfruttato dai criminali per riuscire a penetrare all’interno dei sistemi delle organizzazioni.
Il trucco dei cyber criminali è sempre lo stesso: preparare un’esca ben confezionata che possa ingannare la povera vittima, in genere un dipendente o un operatore di un’azienda o un’ organizzazione, inducendola a cliccare sul malevolo link.
Non cadere nella trappola è dunque la difesa più efficace. Un risultato che però, considerata la raffinatezza delle tecniche di inganno e la facilità di raggiro, si può ottenere solo seguendo un percorso formativo di qualità, che preveda esercitazioni pratiche e continue e che sia sempre aggiornato sulle ultime novità in materia di sicurezza.
