Con la presente desideriamo avvisarLa che attraverso i nostri sensori stiamo registrando regolari e persistenti ondate di mail contenenti allegati infetti riconducibili alla stessa variante ZeuS. Tale minaccia di tipologia Trojan/Stealer è in grado di installarsi nel sistema disabilitando i sistemi di sicurezza presenti sulle macchine colpite (servizi di aggiornamento di sistema, servizio firewall, antivirus), intercettare dati sensibili e permettere all’attaccante accesso backdoor.
La particolare minaccia viene propagata da vari indirizzi appartenenti ai domini @firstround .com, @csnoc .mo, @jccmi .edu, @aqtimes .co .uk, @bbhalls .com, @alice .it, @tiscali .it, @tin .it, @libero .it, @yahoo .it, @deluxebase .com; ed oggetti delle comunicazioni simili ai seguenti: "Fwd: Fattura n 2015/ 022 del 13/05/2015" , "INVOICE No. 517-01 FOR WORK AT CRYSTAL BEACH", "Re: Order", "Invoice #00044105; From Deluxebase Ltd".
In dettaglio l'allegato malevolo inserito all'interno di queste ondate di attacchi email non viene attualmente rilevato dalle maggior parti delle soluzioni antivirus, per tanto senza l'aiuto di filtri antispam adeguati e analisi automatiche sandbox, il file infetto può essere scaricato dagli utenti che in caso di apertura verrebbero compromessi in quanto l'intero ciclo di infezione della macchina non risulta al momento rilevato correttamente dai sistemi perimetrali.
In seguito viene illustrato uno schema esemplificativo del ciclo di infezione della minaccia e dei relativi tassi di rilevamento:
Per tale ragione Yoroi consiglia di installare e mantenere aggiornate soluzioni antispam in maniera da diminuire il rischio di infezione a fronte di questa minaccia. Yoroi consiglia inoltre l'utilizzo di tecnologie di analisi automatica e sandboxing al fine di rilevare e bloccare le minacce più sfuggenti in grado di bypassare sistemi i di sicurezza perimetrali.
In seguito alcuni dei rilievi effettuati durante le analisi e relative coperture da parte di sistemi antivirus e firewall perimetrali (courtesy of VirusTotal):
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il sito www.yoroi.company e di cliccare sul link: Show YOROI Cyber Security Index (presente nel riquadro rosso in alto a destra).
