TG Soft: campagna phishing per diffondere MassLogger in Italia sfruttando Intesa San Paolo come esca. Le email con cui è veicolato il malware sono scritte male, ma sono ugualmente pericolose
Intesa San Paolo è l’ultima esca usata dal cybercrime per cercare di diffondere MassLogger in Italia. Lo hanno scoperto i ricercatori di cyber security di TG Soft. In questi giorni è in circolazione una campagna phishing con alcune email, teoricamente provenienti dalla banca, che invitano l’utente a visualizzare un allegato: la “prova del pagamento effettuato tramite il sito web” dell’istituto di credito. In realtà questo avvia la catena d’infezione del malware, un info stealer (keylogger). Per dare maggiore veridicità alla trappola sono state inseriti il logo ufficiale e alcune frasi standard, presenti solitamente nelle mail istituzionali. I criminali cibernetici, però, hanno fatto un pasticcio (probabilmente usando un traduttore automatico). Il testo, infatti, risulta quasi comico con un “Auguri” finale e un periodo totalmente incomprensibile, che peraltro si smentisce da solo. Attenzione, però, il codice malevolo funziona perfettamente ed è molto pericoloso. Ruba le credenziali e i dati sensibili.
Gli esperti di cyber security già ai primi di giugno avevano predetto che il keylogger sarebbe stato usato per colpire nel nostro paese
MassLogger è un malware relativamente nuovo. Gli esperti di cybersecurity 360 i primi di giugno avvisavano che era venduto sui forum underground (a buon mercato) e pubblicizzato tramite video di YouTube. Si tratta di un keylogger il cui codice malevolo è scritto in .NET e presenta funzionalità di infostealer e spyware per rubare credenziali di accesso e spiare le vittime, con una varietà di routine per il furto di dati sensibili agli utenti. All’epoca erano pochi i campioni isolati del codice malevolo, ma dalle prime indagini sembrerebbe che il cybercrime utilizzi email di phishing per distribuirlo in maniera rapida e massiva, anche se alcune sue parti lasciano supporre anche una capacità di diffusione via USB. Questo aveva destato l’attenzione anche del CERT-AgID, che lo aveva analizzato in profondità. Allora non era ancora stato usato contro obiettivi in Italia, ma già si ipotizzava il suo probabile utilizzo nel nostro paese.