Mentre il mondo dell’hacking underground si riposiziona nel campo delle minacce persistenti per via di spinte nazionaliste che soffiano su di loro a seguito degli accadimenti ucraini e ne infiammano strategie e motivazioni, altre minacce non mutano la loro presenza e aggressività.
È il caso della botnet Qakbot, il trojan bancario visto per la prima volta nel 2007 e divenuto ben presto uno dei più diffusi. Oggi, se possibile, ha aumentato la sua pericolosità, prendendo questa volta di mira thread di posta elettronica per distribuire DLL dannose con lo scopo di potenziare la botnet principale con i nuovi zombie aggiunti.
Questa volta l’attacco, analizzato dai ricercatori di Sophos, parte dal dirottamento dei messaggi di una discussione di posta elettronica grazie ad errate risposte alla stessa, messaggi dannosi che includono una breve frase e un collegamento (nella ultima campagna l’URL presentava frasi latine, considerato così un IoC della minaccia) per scaricare un file zip contenente un foglio di calcolo Excel dannoso. Il messaggio è lì per stimolare la vittima ad “abilitare il contenuto”, in quanto, è situazione comune, altrimenti le macro nel foglio di calcolo non verrebbero attivate. Ma come sappiamo, quello che non dovrebbe essere fatto verrà fatto.
Così inizia la catena delle infezioni, ed il primo payload inizia a raccogliere da subito una ampia gamma di informazioni sul profilo delle macchine infette, compreso account utente e autorizzazioni, software istallati, servizi in esecuzione e altro.
Finito il gathering, sempre il payload scarica dalle C2, per accrescere la potenza di fuoco, altri moduli malevoli (almeno tre). Questi vengono iniettati nel browser come DLL per differenti finalità: uno per il furto delle password nelle pagine del web, uno per la scansione della rete (e raccogliere informazioni sulle macchine nel perimetro), e l’ultimo per identificare i server di posta elettronica SMTP e provarne la connessione, con il conseguente invio di spam.
La struttura Qakbot è stata sempre modulare, e, sul cuore principale dedito al furto di credenziali e altre informazioni, da sempre ha acquisito tante altre funzionalità: spiare operazioni finanziarie, diffondere e
La metafora della pesca viene usata spesso anche nel parlare comune quando si indica la condizione di cadere in un inganno, dallo scherzo più innocente fino alla truffa più complessa: diciamo “abboccare” o “essere presi all’amo”, e naturalmente nessuno di noi si immagina fisicamente nei panni di un pesce. Questa metafora è ovviamente universale quanto l’attività umana della pesca, di pesci intendo, pertanto è stato del tutto naturale utilizzarla, da parte degli anglofoni, nell’indicare anche una specifica forma di truffe informatiche, sebbene trasformando il fishing (pesca) in phishing, con un gioco di suoni facile in inglese (ma difficilmente riproducibile in altre lingue), per denotarne l’origine difforme dalla attività di pesca vera e propria. In italiano formule idonee che potessero avere medesimo significato laterale o gioco di suoni non erano possibili, pertanto abbiamo scelto di adottare il termine senza produrne una traduzione, e dunque il termine risulta sfuggente a chi non è pratico di lingua inglese.
Semplicemente, nel phishing i pesci siamo noi ed il mare è Internet: ecco il senso di tutta la metafora.
Il phishing è dunque una truffa, una truffa che, pur portata avanti attraverso strumenti informatici ed in particolare tramite la posta elettronica, ha sempre gli stessi caratteri necessari in una truffa. Il truffatore deve di dissimulare i suoi intenti, attirare la vittima e condizionarla ad agire in modo tale che la truffa abbia luogo, qualsiasi sia lo scopo finale. Il phisher (il truffatore, o meglio il “pescatore”, se continuiamo nella metafora) deve ingannare, pertanto il contenuto dei messaggi saranno coerenti con l’identità (es. filiale della banca, un ente previdenziale, ecc) impersonata dal truffatore per rendere credibile il dialogo con la vittima, ma soprattutto dovrà spingere la vittima ad agire, indicando una urgenza o una opportunità. Le azioni che la vittima deve compiere possono essere differenti secondo il progetto del phisher: possono andare dalla semplice apertura dell’allegato (che sarà un malware), al seguire collegamenti ipertestuali nel messaggio che portano verso siti altrettanto truffaldini e pericolosi. Spesso l’intento è di ottenere informazioni personali (di natura anagrafica, principalmente), e questo può essere richiesto in vari modi, ma ad oggi dovrebbe essere ben noto che