Esempio tipico di un virus ricevuto via email

Qualche giorno fà abbiamo ricevuto una email da una nota azienda italiana.

Il messaggio, con oggetto “Fax Ricevuto”, conteneva un allegato .zip e un testo in italiano sintatticamente e ortograficamente corretto.

Lo riporto omettendo il nome dell’azienda:
Buongiorno,
il servizio **** di **** ha appena ricevuto il fax che trova in allegato a questo messaggio inviato dal numero in oggetto. Il fax è stato convertito in un documento di tipo PDF multipagina che può essere visualizzato e stampato.
Il nome del file indica l’anno, il mese, il giorno, l’ora di ricezione e il numero telefonico del mittente in modo che possa essere comodamente archiviato in ordine cronologico.
Per qualsiasi necessità può richiedere supporto chiamando il nostro numero verde 145.
Buon lavoro!

Versione breve: Se l’hai ricevuto anche tu, cestinalo! si tratta di un virus! L’attacco è stato riconosciuto in via ufficiosa anche dall’azienda stessa, da noi contattata telefonicamente.

Se hai qualche minuto, però, ti consiglio di proseguire nella lettura, perché dall’analisi di questa email derivano alcune considerazioni utili per non rimanere vittima del social engineering.

Come si può notare, il messaggio non contiene molti dei soliti elementi sospetti che dovrebbero farci decidere se cestinarlo.

Ricordiamoli, perché non fa mai male. Un messaggio deve apparirci sospetto e spingerci sempre a cancellarlo:
  1. se non è stato esplicitamente richiesto o se non siamo registrati al servizio che lo invia;
  2. se al suo interno ci sono eventuali link che puntano a siti diversi da quello istituzionale;
  3. se contiene eventuali numeri di telefono o indirizzi errati o palesemente falsificati;
  4. se la sintassi e l’ortografia del messaggio sono errate, in particolare se fanno pensare a software di traduzione automatica.
In questo caso, l’unico allarme viene dal punto 1, nel senso che Achab non usufruisce del servizio associato alla email.
Per il resto, sembra in tutto e per tutto un messaggio legittimo. Analizziamo quindi lo zip allegato:
Contiene apparentemente un file PDF. L’icona non è quella standard del lettore PDF della mia macchina, ma non è una cosa che balza all’occhio a tutti (e sappiamo che spesso le icone di Windows fanno quello che vogliono, no?).
Il file appare così perché Windows ha di default l’opzione di nascondere le estensioni per i tipi di file sconosciuti (Opzioni Cartella, nel Pannello di Controllo):
Se la togliamo questo è il risultato:
Il file ha una doppia estensione, e in realtà è un .exe.
L’opzione di nascondere le estensioni nasce come modo per evitare che un utente inesperto possa modificare inavvertitamente l’estensione del file, così che il file non possa più essere aperto con il software associato. Il consiglio è di disabilitarla sempre, per avere un maggior controllo dei file sul nostro PC, anche perché l’opzione è a parer mio un retaggio di quando i computer non erano così diffusi e di uso comune (l’opzione era già presente in Windows 95!).
Ma torniamo al nostro file: la doppia estensione e il fatto che il file sia un eseguibile devono essere considerati segnali di pericolo enormi e farci immediatamente decidere per la cancellazione del messaggio e dell’allegato.
Come mai allora il nostro antivirus non lo ha rilevato?
Mettiamo il file su VirusTotal e vediamo quanti motori antivirus lo rilevano:
Solo due su cinquantatré: il virus è forse una nuova variante appena creata, probabilmente per un particolare target (ricordiamo che l’azienda che a prima vista sembra inviare il messaggio è italiana).
Questo deve farci riflettere sul funzionamento degli antivirus tradizionali: finché le firme non sono aggiornate, è come se non avessimo l’antivirus. Per questo è necessario scegliere fornitori affidabili che mettano al primo posto la ricerca e forniscano firme aggiornate il più frequentemente possibile, e aggiornare attivamente l’antivirus con altrettanta assiduità.