Ti trovi in:
Segnalazioni e approfondimenti
Approfondimento del 13 gennaio 2021 - Diffusione malware BitRAT
Menu della sezione Focus sul phishing
Diffusione malware BitRAT
E’ stata recentemente rilevata una campagna di diffusione del malware BitRAT avente impatto su utenze italiane.
Il malware in questione viene veicolato tramite email di phishing che hanno in allegato un file di Microsoft Office Word (estensione .docx) denominato “IPTVLink & Info.docx”.
Comportamento
Queste mail sono particolarmente insidiose in quanto, con lo scopo di tentare di aggirare le misure di sicurezza di Office che impedirebbero l’esecuzione della macro malevola contenuta nel file .docx, viene chiesto all’utente di abilitare le macro in Office tramite il seguente messaggio:
“This document is protected. […] please hit “Enable Content” on the yellow bar above”. Di seguito un esempio del messaggio:
Indicatori di compromissione
Nel codice della macro malevola contenuta all’interno del documento è presente un puntamento al dominio apobypass[dot]com (precisiamo che con [dot] si intende il punto “.”, secondo la tipica notazione in uso per indicare i domini sospetti o pericolosi).
Mitigazione
La prima cosa da fare, in questo caso, è diffidare sempre delle comunicazioni inattese che invitano ad aprire allegati riguardanti, in particolare, fatture, transazioni economiche, verifiche di pagamento o, magari, richieste di versamenti da parte dell’Agenzia delle Entrate.
Quando possibile, inoltre, sarebbe sempre preferibile mantenere disattivate le macro di Office, o almeno impostare la disattivazione con notifica: