Cessazione Carrier PreSelection, il virus che bersaglia gli utenti Telecom

Gli utenti italiani sono nuovamente bersaglio di una imponente e ben organizzata campagna phishing. Nelle caselle di posta di migliaia di utenti sta arrivando, in queste ore, un’e-mail truffaldina che sembra provenire da Telecom Italia quando, in realtà, è stata preparata da un gruppo di criminali informatici con il preciso scopo di trarre in inganno i destinatari.

“Oggetto: Invio modulo: Cessazione Carrier PreSelection“, si legge nel corpo del messaggio che imita la soluzione grafica scelta da Telecom Italia e TIM per l’invio di comunicazioni di vario genere. In alto campeggiano data di spedizione ed un numero di protocollo assolutamente fasullo (l’oggetto è “Informazioni Commerciali“).

Di primo acchito l’e-mail sembra provenire da un account Telecom (caringservizioclienti@telecomitalia.it); in realtà, viene spedita utilizzando server SMTP che nulla hanno a che vedere con l’operatore telefonico italiano.
Analizzando le intestazioni (headers) dell’e-mail, infatti, è possibile accorgersi di come il messaggio sia partito da indirizzi IP utilizzati dai clienti di provider stranieri (maggiori informazioni sull’analisi degli headers nell’articolo Scoprire dove si trova una persona a partire dall’indirizzo IP).
Le e-mail truffaldine sembrano essere indirizzate, attraverso una pesante campagna di spam, verso gli indirizzi di posta elettronica degli italiani che hanno in qualche modo pubblicato sul web i loro dati.

Come allegato all’e-mail c’è un file malevolo con una doppia estensione: l’utente più distratto potrebbe pensare di avere a che fare con un documento in formato PDF. Trattasi invece di un pericoloso file eseguibile (.EXE) che, se avviato, provvede ad installare una variante del noto malware ZeuS.

Il pericolo è concreto perché pochi motori antimalware sono al momento in grado di riconoscere il malware ed allertare l’utente (vedere l’analisi su VirusTotal).
Come si vede, allo stato attuale, sono solamente quattro i motori di scansione capaci di rilevare e bloccare la minaccia (Sophos, Malwarebytes, Bkav e Rising) ^[*].

Il testo dell’e-mail phishing appare redatto in un italiano perfetto, senza quegli errori ortografici che spesso insospettiscono gli utenti circa l’effettiva bontà delle comunicazioni ricevute. Un esempio di come gli aggressori stiano perfezionando le tecniche di ingegneria sociale, sempre più utili per carpire informazioni altrui.

Secondo Marco Giuliani, CEO dell’italiana Saferbytes (questo il sito ufficiale della società), il malware allegato all’e-mail phishing sarebbe Citadel (ne avevamo parlato in questi articoli) appartenente alla nota famiglia di ZeuS, componente maligno studiato per sottrarre informazioni personali (dati per l’accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autorizzazione, nomi utente e password, certificati digitali,…) e rubare denaro.

All’interno del campione malware allegato alla falsa e-mail Telecom, Giuliani ha scoperto anche una stringa assai curiosa: “Coded by BRIAN KREBS for personal use only. I love my job & wife“. Chi è Brian Krebs? È un famoso giornalista, blogger ed esperto informatico che fu tra i primi a presentare nel dettaglio il funzionamento del malware Citadel (vedere, ad esempio, questo suo articolo).
Per questo gli autori del malware hanno voluto provocatoriamente “rendere omaggio” a Krebs inserendo il suo nome nel sorgente del malware.

“Purtroppo, pur essendo un’infezione ben conosciuta da diversi anni, questa famiglia di trojan riesce ancora a colpire, complice anche l’ingenuità di molti utenti del web“, ha commentato Giuliani. “I malware writer sanno come aggirare efficacemente le protezioni degli antivirus più comuni, e questa variante di Citadel non è da meno riuscendo ad evadere all’individuazione tramite firme virali di quasi tutti gli antivirus più blasonati“.
L’esperto di Saferbytes continua: “A tutto questo si aggiunge il vizio – come successo in passato con Gromozon, trojan “affezionato” alla nostra nazione – di inserire all’interno del codice del malware il nome di persone attive nel mondo della sicurezza informatica con l’unico fine di screditarle. Nel caso di Citadel, ad esempio, viene preso di mira il giornalista Brian Krebs, figura attiva contro il cybercrime e punto di riferimento per molti interessati all’argomento“.

Ma quali sono, ancora una volta, le raccomandazioni per difendersi da minacce simili a quella che sta bersagliando i clienti Telecom?
“I suggerimenti sono i soliti e nonostante possano apparire monotoni in realtà rappresentano la chiave per difendersi dagli attacchi informatici: mantenenere sempre un antivirus attivo ed aggiornato nel sistema, aggiornare costantemente il proprio sistema operativo con tutte le patch disponibili, installare software per la prevenzione di exploit complementari all’antivirus e controllare sempre attentamente gli indirizzi web prima di inserire dati personali o scaricare materiale eseguibile“.

Telecom Italia è stata informata sull’avvio della campagna di phishing che ha evidentemente come primo obiettivo quello di prendere di mira la sua clientela e, per come è stato redatto il testo della comunicazione truffaldina, i clienti business in particolare.

^[*] Aggiornamento. A distanza di poche ore, anche i motori di scansione antimalware di ESET, prima, e di Panda, poi, riescono a riconoscere e bloccare la minaccia.

Aggiornamento del 13/05/2014 – 28 motori antimalware su 52 (vedere l’analisi su VirusTotal) riescono adesso a riconoscere la minaccia.