Malware per San Valentino: utenti infettati tramite mail di sconti

Heart Lock abstract red futuristic english code abstract vector backgrounds

Come altre festività, il giorno di San Valentino è un’opportunità ideale per gli attori delle minacce per implementare attacchi informatici ambiziosi. Questa volta, gli esperti riferiscono che un gruppo di hacker sta inviando e-mail con informazioni su presunti ordini a negozi di fiori e biancheria intima; in realtà questi messaggi includono collegamenti o allegati per scaricare il malware BazaLoader.

Questa variante di malware è stata identificata nell’aprile 2020 e da allora sono state rilevate almeno sei varianti, indicando che gli sviluppatori dedicano notevoli risorse per la sua manutenzione.

Il rapporto, preparato dalla società di sicurezza Proofpoint, menziona che dall’inizio del 2021 sono state rilevate varie campagne di phishing utilizzando documenti PDF infettati da BazaLoader: “Gli hacker si rivolgono a più argomenti per attirare l’attenzione degli utenti, inclusa la vendita di forniture per ufficio, farmaci e integratori alimentari, anche se l’argomento più vicino è la celebrazione di San Valentino”.

In un caso analizzato da questa azienda, la vittima ha ricevuto un’e-mail presumibilmente da un negozio di biancheria intima chiamato Ajour Lingerie, con sede a New York, in cui si diceva che il loro ordine era stato completato, quindi era necessaria la verifica di una fattura, allegata in formato PDF. Sebbene l’allegato non contenga malware, la sua inclusione è un elemento critico per completare l’attacco.

Questo PDF contiene un collegamento a un sito Web fraudolento (ajourlingerie <.> Net) che finge di essere il sito ufficiale di Ajour Lingerie (ajour.com). Il sito Web fraudolento è una copia identica della piattaforma legittima dell’azienda di biancheria intima, quindi non è strano pensare che un utente possa essere ingannato. La piattaforma fraudolenta include una sezione “contatti” che, se visitata dalle vittime, apre una finestra per inserire i dettagli della falsa fattura, che a sua volta scaricherà un foglio di calcolo. Se gli utenti attivano le macro in questo file, inizieranno a scaricare BazaLoader. Questo metodo di attacco viene replicato utilizzando l’immagine e siti fraudolenti di aziende dedite all’invio di fiori.

I ricercatori stanno ancora cercando di determinare quale variante di malware viene scaricata da BazaLoader, sebbene abbiano già rilevato una grande somiglianza tra questo malware e altri come TrickBot.

Questo è un segno della facilità con cui gli hacker possono implementare una campagna dannosa abusando delle festività. L’anno scorso un gruppo di ricercatori ha riferito che più utenti di iPhone hanno ricevuto messaggi fraudolenti che cercavano di convincerli a scaricare un’app di appuntamenti caricata con malware per il furto di informazioni, tra molte altre funzionalità dannose.