Di Sherrod DeGrippo, Senior Director of Threat Research and Detection di Proofpoint
Preoccupazioni legate alla salute ci spingono a fare molte cose, come cambiare la nostra dieta, fare più esercizio fisico e assumere farmaci. Ma non dovrebbero mai portarci a diventare vittime delle campagne di phishing.
I cyber criminali si nascondono regolarmente dietro presunte informazioni sanitarie nelle loro email phishing perché si tratta di messaggi che portano con sé una carica emotiva particolarmente efficace nell’ingannare gli utenti e convincerli ad aprire allegati o link pericolosi.
L’esempio più recente rilevato dai ricercatori di Proofpoint vede coinvolti i cyber criminali che fingono di essere il Vanderbilt University Medical Center e inviano false email con i risultati del test HIV, per attirare i destinatari e indurli ad aprire i documenti dannosi inclusi nel messaggio.
Questa campagna mirata, a basso volume, ha avuto come obiettivo principale aziende di settori chiave come assicurazioni globali, organizzazioni sanitarie e farmaceutiche, ma anche altri sono stati presi di mira. Questo attacco ha sfruttato il RAT Koadic. In caso di successo, con Koadic installato, gli aggressori sono in grado di eseguire programmi e accedere ai dati delle vittime, comprese le informazioni personali e finanziarie.
Questa campagna mirata ha visto email che sembravano provenire da “Vanderbit [SIC] Medical” che avevano come oggetto “Risultato test di analisi mediche”. Il messaggio incoraggia i destinatari ad aprire un allegato di Microsoft Excel pericoloso, dal nome “TestResults.xlsb”, che suppone contenere I risulati del test HIV del destinatario
Figura 1 – Email con allegato pericoloso relative al test HIV
Una volta che il documento viene aperto, Excel chiede all’utente di abilitare le macro.
Figura 2 – Excel pericoloso richiede di abilitare le macro
Se il destinatario abilita le macro, il documento procede con il download di Koadic. In origine, Koadic era pensato come uno strumento per difendere la rete e permette ai malintenzionati di prendere il controllo completo del sistema di un utente. Negli ultimi anni è stato utilizzato da numerosi aggressori sponsorizzati da paesi, tra cui gruppi statali cinesi e russi e associati all’Iran.
Questa campagna serve a ricordare che l’utilizzo di tematiche legate alla salute come esca per gli utenti non accenna a diminuire – pensiamo alle recenti attività legate al Coronavirus.
Sono un elemento costante delle tattiche dei malintenzionati, poiché riconoscono l’utilità del fattore “paura” legato alla salute. Incoraggiamo gli utenti a gestire con cautela le email legate a questo tema, in particolare quelle che affermano di avere informazioni sensibili relative al proprio stato fisico.
Questa tipologia di dati, infatti, viene genralmente trasmessa in modo sicuro utilizzando portali di messaggistica portetti, al telefono o di persona. Se ricevete un’email simile, non aprite gli allegati. Visitate invece direttamente il portale dedicato ai pazienti, chiamate il vostro medico o prendete un appuntamento per confermare direttamente una diagnosi o i risultati di un test.