È attualmente in corso in Italia una nuova campagna di malware che offre una taglia di 5 mila euro in cambio di informazioni su una persona citata nella e-mail, ma in realtà si tratta di una campagna di malspam che mira a installare il software di controllo remoto Atera RMM (Remote Monitoring Management).
La campagna è al momento indirizzata a pubblici uffici e inviata prevalentemente a indirizzi PEC di questi enti. Nel corpo della mail viene offerta una taglia di 5 mila euro in cambio di informazioni concrete per individuare un soggetto di cui vengono forniti il nominativo, la data di nascita, la residenza e il luogo di lavoro.
Inoltre, viene fornita una carta di identità del soggetto incriminato disponibile mediante un link riportato nel testo della email che, una volta selezionato, scarica un file denominato CARTA_IDENTITA.rtf che in realtà non contiene alcun documento di identità bensì uno script Visual Basic Script che dovrebbe procedere a installare in maniera silente il software di controllo remoto e a mostrare la carta di identità del soggetto citato nella email.
Una volta cliccato il file CARTA_IDENTITA.vbe, dovrebbe avviarsi la procedura designata dal cyber criminale di installazione del software di controllo remoto. La stessa richiede la presenza della directory temporanea c:\temp\ che di default non è presente nei sistemi Windows. Lo script non procede a creare la directory temporanea ma prevede che sia già presente.
Questa directory potrebbe già essere presente nel sistema operativo della vittima se creata in precedenza da altri software ma, se non è presente nel sistema Windows in uso dalla vittima, lo script termina vanificando ogni sforzo del criminale.
Qualora invece la directory fosse presente, lo script procede a scaricare il PDF del documento del soggetto e a installare in background il software di controllo remoto.
La campagna in corso risulta particolare in quanto utilizza il software lecito Atera RMM (Remote Monitoring Management) per la gestione remota delle vittime. Abitualmente i cyber criminali sfruttano un VBScript per eseguire e scaricare un malware da loro prodotto o acquistato e non un software lecito, fanno notare gli esperti. In questo caso invece è stata scelta l’opzione di scrivere un VBScript (seppur con degli errori) e poi di affidarsi ad una autorevole software house che vende un software di controllo remoto per assistenza remota.
Atera produce un agent (file di installazione) .MSI differente per ogni utente, per questa campagna denominato Rastaf.msi, che contiene l’email del registrante al loro servizio. Questo dettaglio consente alle API di Atera di associare la nuova installazione all’opportuno account e quindi mostrare, nel pannello di controllo online che è disponibile per l’assistenza remota, un nuovo computer.
Gli esperti di D3Lab invitano gli utenti a ignorare tale email qualora dovessero riceverla.
https://www.d3lab.net/malspam-taglia-di-e-5-000-installa-software-di-controllo-remoto/