Da alcuni giorni Pubblica Amministrazione e imprese sono oggetto di un importante attacco ‘Spear Phishing’: una nuova e più subdola versione del malware Gootkit sta veicolando contenuti malevoli attraverso la Posta Elettronica Certificata. Un modus operandi analizzato dalla divisione cybersecurity di Var Group, Yarix.
Il malware si diffonde attraverso email inviate tramite PEC, in modo da dare maggiore credibilità al messaggio che viene recapitato e avvisa l’utente di un pagamento avvenuto; il cui bonifico è allegato al messaggio di posta elettronica. Allegato che si presenta come un documento Word.
Gootkit, il nuovo malware che prende il controllo dei vostri PC aziendali
Annidato all’interno del documento è presente del codice attivo (macro) che viene eseguito all’apertura del documento: l’utente viene avvisato che per poter accedere al documento stesso è necessario “Abilitare” il contenuto per questioni di compatibilità tra versioni di Microsoft Word.
Il codice a quel punto viene eseguito e scarica praticamente in autonomia dei file nella cartella temporanea del profilo utente. Il primo è un eseguibile mentre il secondo è un file di testo contenente codice powershell. Il risultato è l’installazione di un malware che dialoga con un sistema centralizzato con l’obiettivo di eseguire comandi in remoto.
È evidente quindi come l’attaccante abbia pieno controllo del sistema. Avendo la possibilità di eseguire qualsiasi azione sul sistema compromesso, i criminali hanno la possibilità di installare nuovo codice, scaricare altro malware, ottenere informazioni di qualsiasi tipo o prendere controllo della webcam e del microfono del sistema.
Mirko Gatto, CEO di Yarix, Divisione Sicurezza Digitale di Var Group ha dichiarato: “PA, istituzioni pubbliche e aziende si confermano tra i target più ambiti per violare sistemi e accedere illegalmente a preziose banche di dati. La vulnerabilità delle infrastrutture digitali e l’aggressività degli attacchi informatici sono importanti campanelli di allarme”.