Con i falsi eFax il normale antivirus non basta

Abbiamo imparato a diffidare degli allegati che arrivano da mittenti sconosciuti, abbiamo imparato a ignorare le email di phishing e persino a essere sospettosi quando arriva un messaggio di posta certificata PEC. Ora è arrivato il momento di tenere le antenne dritte anche quando nella nostra casella di posta arriva un eFax.

I falsi “fax elettronici” arrivano sotto forma di un messaggio con allegato un archivio ZIP al cui interno è contenuto un file XLS. Al suo interno, però, si nasconde una backdoor che viene installata attraverso il vecchio trucco dei comandi Macro.

Il vero problema, però, è che i cyber-criminali che stanno portando avanti questa campagna utilizzano un doppio payload: il primo è un trojan piuttosto conosciuto chiamato Dridex. Il secondo, invece, si chiama Remote Manipulator System.

Si tratta di un tool per l’accesso remoto, che molti antivirus non considerano pericoloso e questo per un ottimo motivo: è un software normalmente utilizzato da molte aziende per controllare a distanza un PC. In questo caso, ovviamente, il suo utilizzo è tutt’altro che legittimo e consente ai pirati informatici di ottenere il completo controllo del computer infetto.

Uno stratagemma che i pirati informatici usano sempre più spesso. Utilizza do strumenti legittimi di amministrazione e controllo remoto, infatti, sono in grado di portare attacchi devastanti senza far scattare gli allarmi dei tradizionali sistemi di controllo basati sull’analisi delle signature. Per individuare un attacco del genere, l’unica soluzione è quella di predisporre sistemi che consentano di avere la massima trasparenza del traffico di rete e monitorare le comunicazioni all’interno delle infrastrutture.

Un approccio “moderno” che mette al riparo anche dagli attacchi più subdoli e che, alla luce delle evoluzioni nel panorama della cyber-security, diventa un passaggio obbligatorio per garantire l’integrità dei sistemi aziendali.