Sono state recentemente osservate due distinte campagne di Email di spam mirate prevalentemente ad utenti residenti in Italia.
Dei 210.000 messaggi totali analizzati nelle due campagne, il 97% era destinato ad indirizzi Email italiani. La maggior parte degli indirizzi appartengono a domini relativi ad aziende dei settori assicurativo, high tech, manifatturiero, universitario e dei servizi legali.
I messaggi malevoli, veicolati tramite attacchi di spear-phishing, sono in lingua italiana e appaiono inviati da domini appartenenti per lo più ad un noto ISP nazionale.
Gli allegati sono file eseguibili che tentano di infettare i computer delle vittime col trojan Andromeda, un malware noto già dal 2011. Le macchine infette da Andromeda vengono inserite nella botnet omonima. Il trojan può essere utilizzato dagli attaccanti per scaricare moduli aggiuntivi o altro malware sulle macchine compromesse.
Andromeda è essenzialmente un downloader ed è sviluppato in maniera altamente modulare. In passato, questo trojan è stato utilizzato per diffondere svariate famiglie di malware progettate per attaccare POS, come GamaPOS. Alcuni dei moduli caricati da Andromeda forniscono al malware le seguenti funzionalità:
- keylogger
- rootkit
- cattura dei dati inseriti in form Web
- accesso remoto
Per evitare di cadere vittima di questo tipo di minacce informatiche, si raccomanda come sempre di non fare mai clic su link contenuti in Email di provenienza sospetta e di non aprire mai i file allegati.