15 novembre 2019
Aggiornato 21:00
Sicurezza informatica

G Data: nuova ondata di spam contro i clienti dei negozi online

Le Botnet inondano le caselle di posta con false conferme d’ordine

BOCHUM – Gli esperti dei G Data SecurityLabs mettono in guardia da una nuova ondata di spam che, tra gli altri, ha preso di mira Amazon e buy.com. Le false e-mail contengono false conferme d’ordine che in apparenza sembrano vere. Tutte le e-mail contengono degli URL che rimandano a siti infetti. Con questi ultimi attacchi i criminali online mirano ad inserire nuovi pc zombie nelle loro botnet. Dopo che l’infezione malware ha avuto successo, il computer viene così utilizzato come distributore di ulteriore spam senza che l’utente ne abbia sentore. Oltre a ciò i cyber criminali installano un finto software antivirus. In questi casi è opportuno, come sempre, cancellare immediatamente questo tipo di e-mail ed evitare di cliccare sui link in esse contenuti. Gli utenti che hanno scelto le soluzioni di sicurezza G Data sono già protetti contro quest’ultimo attacco.

Se gli utenti cadono in questo tipo di trappola e l’attacco condotto via Internet ha successo, un bot (programma maligno) viene installato sul Pc della vittima. Questo bot resta sul computer, si nasconde e connette il computer a una botnet. I Pc infetti vengono così immediatamente usati per distribuire spam. Inoltre questi programmi maligni caricano ulteriore malware tra cui un finto programma antivirus chiamato «Defense Center»

Gli utenti delle soluzioni per la sicurezza di G Data sono già protetti contro questa minaccia. G Data ha identificato quest’ultimo malware come Trojan.FakeAV.LAV (finto programma antivirus) e Trojan.Generic.4338292 (bot).

Informazioni sulle e-mail pericolose
Gli indirizzi del mittente appaiono tutti provenire, ad un primo sguardo, da indirizzi .com e hanno i seguenti oggetti:

• Your Amazon.com Order (DXX-XXXXXXX-XXXXXXX)
• Thanks for your order!
• Your [WEBSITE] account information has changed
• Please confirm your message
• Confirm your e-mail address for Windows Live ID

Tutti i link contenuti nelle mail rimandano a siti maligni come i seguenti:

• http://vi[removed]ay.fr/index2.html
• bo[removed]on.kr/index2.html
• so[removed]a.co.kr/index2.html
• http://cr[removed]lf.fr/index2.html
• http://pu[removed]ep.com/
• http://to[removed]ms.com/index2.html
• http://www.pl[removed]hl.com/index2.html
• http://st[removed]si.org/index2.html

Il finto antivirus software
Il software maligno scoperto da G Data va sotto il nome di «Defense Center» e fa credere all’utente che il suo computer sia infettato da una grande varietà di malware. Per pulire il Pc dovrebbe quindi acquistare questo software che, in realtà, è un software antivirus falso.

Gli attacchi
Un estratto dei pericoli che sono stati scoperti include exploit PDF e Java, come pure un punto debole nel Microsoft Windows Help and Support Center (CVE-2010-1885).

Consigli
G Data raccomanda di cancellare dal proprio sistema ogni mail proveniente da utenti sconosciuti. Se dunque non avete ordinato nulla da amazon, non c’è nessuna ragione di aprire questo tipo di mail. Dal momento che i criminali online continuano a contraffare le mail degli shop online sfruttando la loro buona reputazione, è necessario:

• Controllare il mittente
• Nel caso di una conferma d’ordine, controllare in maniera accurate il numero d’ordine e il prezzo
• Controllare dove indirizzano i link prima di cliccarci sopra sfruttando la funzione mouseover

Potete trovare un’approfondita analisi di tutto questo sul G Data security blog: http://blog.gdatasoftware.com/

Che cos’è un bot? I bot sono dei piccoli programmi che in genere funzionano in background sul Pc della vittima, senza che questa se ne accorga. In base alle loro funzioni, essi possono fare numerose operazioni, dagli attacchi DoS alla registrazione dei comandi su tastiera e molto altro ancora. La varietà delle operazioni possibile dipende da quanto un criminale vuole spendere per un bot. I bot più complessi, infatti, costano molto di più rispetto a quelli più semplici