Descrizione generale
Il nostro team di supporto e monitoraggio ha rilevato nel pomeriggio di ieri numerose segnalazioni di un attacco SPAM con allegato un file compresso in formato “CAB”. La mail è simile a quella della figura seguente:
Il file allegato contiene un file eseguibile con estensione “SCR”, che il sistema riconosce essere uno screen saver e manda in esecuzione. Il file ha nome casuale e come icona una bandiera tricolore, come evidenziato nella seguente figura:
Quando si manda in esecuzione il file “SCR”, viene visualizzato un documento “RTF” e si manda in esecuzione un TROJAN DOWNLOADER. Questo Trojan è stato utilizzato per scaricare e mandare in esecuzione sulle macchine infette un codice Cryptolocker.
Contromisure
Per proteggersi da questo tipo di attacco, è consigliato di bloccare tutte le mail che contengono allegati eseguibili, in particolare l’estensione “SCR”. Per completezza, consigliamo di bloccare a livello gateway tutte i seguenti tipi di files: “386, ACM, ASP, AVB, BAT, BIN, CGI, CHM, CLA, CLASS, CMD, CNV, COM, CSC, CSI, DLL, DRV, EXE, GMS, HLP, HTA, HTM, HTML, HTT, INF, INI, JS, JSE, LNK, MHT, MHTML, MPD, OCX, OPO, OVL, PHP, PIF, PL, PRC, REG, SCR, SH, SHS, SYS, TLB, TSP, VBS, VBE, VXD, WBS, WBT, WIZ, WSH”.
Per gli utenti Trend Micro, è indispensabile avere il modulo “Web Reputation” attivo.
E’ inoltre necessario istruire gli utenti di non aprire mai allegati provenienti da mail sospette o da mail delle quali non sia abbia certezza dell’origine.
Nel caso un utente avesse mandato il Trojan in esecuzione, è importante provvedere a scollegare il pc dalla rete e procedere alla rimozione manuale: abbiamo potuto notare che dopo l’infezione del Trojan, il download del codice Cryptolocker non è immediato, pertanto scollegando il computer dalla rete e procedendo alla pulizia manuale è possibile evitare l’azione del Cryptolocker.