Settimana 12: il malware flubot è di nuovo attivo in Svizzera e vari amministratori di siti web ricevono e-mail minatorie da sedicenti hacker ucraini.

Service navigation

Ricerca

Navigazione

Settimana 12: il malware flubot è di nuovo attivo in Svizzera e vari amministratori di siti web ricevono e-mail minatorie da sedicenti hacker ucraini.

29.03.2022 - Le segnalazioni pervenute all’NCSC sono in lieve aumento. Circolano SMS con cui si tenta nuovamente di indurre la vittima a installare il malware flubot sul proprio smartphone. Inoltre, alcuni proprietari di siti Internet hanno ricevuto delle e-mail in cui dei sedicenti hacker ucraini sostenevano di aver violato il sito e chiedevano una «donazione».

Il malware flubot è tornato

La scorsa settimana l’NCSC ha ricevuto numerose segnalazioni di SMS in diverse varianti che comunicavano la presunta consegna di pacchi. La formattazione presentava però alcune caratteristiche comuni: le parole erano spezzate da spazi vuoti. Il link in calce al messaggio portava a un sito Internet dove la vittima veniva invitata a scaricare e installare sullo smartphone con sistema operativo Android un software del fornitore di servizi di spedizione.

Esempi di SMS riguardanti la presunta consegna di pacchi
Esempi di SMS riguardanti la presunta consegna di pacchi

Il software in questione è in realtà il malware flubot, già noto in Svizzera. L’ultima grande ondata ha colpito il nostro Paese nell’autunno 2021. Allora i messaggi comunicavano la presenza di un messaggio vocale. L’NCSC ha informato al riguardo. A livello internazionale sono inoltre stati osservati SMS con il testo «Sei tu nel video?», ma fanno parte del repertorio di flubot anche falsi inviti ad aggiornare il browser o il sistema operativo. Solitamente gli aggressori cambiano molto rapidamente le zone di attività, nella maggior parte dei casi già dopo pochi giorni. Dal dicembre 2021 le campagne di attacchi hanno preso di mira soprattutto l’Australia e la Germania. In Svizzera gli SMS riguardanti le consegne di pacchi circolano dal 18 marzo 2022.

FluBot si è inoltre specializzato nel furto di SMS dai cellulari allo scopo di scovare le «one-time password» (OTP o password usa e getta). Dopo che il dispositivo è stato infettato, l’elenco dei contatti viene inviato al server di controllo degli aggressori. Il cellulare riceve poi una serie di numeri di telefono presi da altri dispositivi hackerati a cui inviare l’SMS dannoso.

Benché il malware attacchi soltanto i dispositivi Android, anche gli utenti di dispositivi con sistema operativo iOS devono essere prudenti e non attivare i link ricevuti via SMS.

  • Non installate mai software offerti al di fuori degli app store ufficiali dei sistemi operativi.
  • In particolare, non installate software a cui si accede tramite link ricevuti via SMS o con un altro servizio di messaggistica (WhatsApp, Telegram ecc.).
  • Se avete comunque installato un software di questo tipo, fate controllare il dispositivo da uno specialista e durante questo periodo non effettuate operazioni bancarie o acquisti online e non immettete password.
  • Ripristinare le impostazioni di fabbrica del dispositivo infetto è praticamente l’unico modo per rimuovere questo malware dal dispositivo.

Presunti hacker ucraini chiedono una «donazione»

La scorsa settimana l’NCSC ha ricevuto anche numerose segnalazioni di messaggi minatori inviati ad amministratori di siti Internet da sedicenti hacker ucraini. I messaggi sono stati inoltrati tramite il modulo di contatto dei siti web. Gli hacker affermano di aver trovato una vulnerabilità nel sito Internet e invitano gli amministratori a versare una «donazione» di 0,05 BTC (attualmente ca. fr. 2000) su un conto in bitcoin.

Se gli amministratori non danno seguito alla richiesta, gli aggressori bloccano il sito e pubblicano un banner che invita tutti gli utenti a sostenere l’Ucraina. E se i proprietari rimuovono il banner o eliminano la vulnerabilità, gli hacker reinstallano il banner e scovano un’altra falla. Nel caso in cui anche questo non dovesse funzionare, gli aggressori minacciano di cancellare definitivamente il dominio dal servizio di registrazione.

e-mail minatoria inviata da sedicenti hacker ucraini
e-mail minatoria inviata da sedicenti hacker ucraini

Ovviamente il messaggio è soltanto un bluff. Tuttavia, il caso mostra che la tragedia del conflitto in Ucraina viene sfruttata nei modi più diversi anche dai truffatori. L’NCSC ha già attirato l’attenzione su questa problematica l’8 marzo 2022. La scorsa settimana anche la polizia cantonale di Zurigo ha messo in guarda contro i tentativi di truffa (in tedesco).

  • Non fatevi intimorire. In caso di dubbi segnalate il messaggio sospetto all’NCSC o alla polizia.
  • Naturalmente dovreste mantenere aggiornati i server e tutte le applicazioni web.
  • In generale, per le donazioni raccomandiamo quanto segue:
    • ignorate le prese di contatto per e-mail;
    • evitate di utilizzare la carta di credito per effettuare donazioni;
    • non effettuate donazioni in criptovalute;
    • non inviate codici per buoni regalo (Google Play, Apple iTunes ecc.).
  • È meglio utilizzare soltanto codici IBAN di enti assistenziali con marchio ZEWO
    https://zewo.ch/de/ (in tedesco, francese e inglese).

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 29.03.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2022/wochenrueckblick_12.html