Ricordate la campagna di phishing a tema rinnovo VDS? Non sembra essere l’unico pericolo informatico per i piloti dei veivoli ultraleggeri, dal momento che ci è stata segnalata una nuova possibile campagna in corso. Il caso che è stato portato alla nostra attenzione riguarda una e-mail proveniente da un indirizzo contraffatto dell’Aero Club d’Italia in risposta ad una vecchia e-mail di invio della documentazione per il rinnovo dell’attestato (cui erano allegati moduli, evidenza del bonifico e documenti d’identità), con l’invito ad aprire file .zip protetto da password.
Il file contiene un excel con una macro offuscata per scaricare un installer di Emotet, un malware nato in origine come “semplice” trojan bancario e che successivamente è stato sviluppato per poter svolgere una serie di ulteriori funzioni tutte di natura malevola e consentire ad esempio al cybercriminale di avere il controllo da remoto dei dispositivi, diffondere una botnet, installare ulteriori virus o esfiltrare determinate informazioni.
Quale difesa è consigliabile adottare a riguardo? Certamente, disabilitare le macro di Excel, cosa che già Microsoft ha adottato come restrizione standard applicata ad Office anche per i documenti online proprio per evitare di agevolare questo tipo di attacchi. Questo però ovviamente perde ogni tipo di efficacia se l’utente autorizza le macro tramite la funzione “Abilita contenuto”, azione sconsigliata soprattutto se la provenienza del file è dubbia (insomma: se non proviene da una c.d. trusted location o provenienza affidabile).
Anche in questo caso la campagna si fonda, in modo analogo a molte altre campagne di phishing, proprio sul simulare un mittente affidabile, rafforzato dalla citazione di un’e-mail genuina precedentemente inviata proprio dalla potenziale vittima. Già controllando il mittente con un’attenta analisi dell’header e l’impiego di strumenti di OSINT è possibile scoprire la natura fraudolenta della comunicazione.
L’adozione di questo tipo di controlli richiede occorre un approccio prudente applicato di default da parte dell’utente, salvo non vi sia un dubbio evidente per cui c’è una maggiore capacità di reazione. Altrimenti si è destinati ad essere inevitabilmente delle vittime spesso inconsapevoli di tali attacchi.
Il dubbio che emerge è però il seguente: in che modo il cybercriminale può avere avuto accesso alle informazioni delle e-mail inviate, che certamente stanno agevolando lo svolgimento della campagna di attacchi segnalata?
O la casella e-mail delle singole vittime è stata compromessa e dunque è un caso isolato (piuttosto improbabile, ma non escludibile a priori), o altrimenti c’è stata una compromissione dei servizi o dei database di posta elettronica collegati all’Aero Club Italia. Scenario che è decisamente poco rassicurante e in relazione al quale emergono dubbi su come gli attaccanti abbiano avuto accesso a quei dati che devono trovare urgente chiarimento, soprattutto per consentire agli interessati coinvolti di essere maggiormente preparati e poter prevenire questo genere di attacchi.
