Directoratul Naţional de Securitate Cibernetică (DNSC) atrage atenţia miercuri că, începând cu data de 25 martie 2022, este în desfăşurare o campanie cibernetică maliţioasă cu malware de tip Trojan Stealer, via e-mail, care vizează instituţii de stat şi private din Români.
„Atacatorii impersonează instituţii publice sau companii private din România, folosind liste de adrese de e-mail existente în calculatoarele atacate, pentru a transmite şi propaga mesaje ce conţin linkuri infectate”, transmite sursa citată. Prin accesarea linkului respectiv este descărcat un fişier Excel Macro (de tip Trojan Stealer) după care, odată cu activarea funcţiei Macro, este instalat un program maliţios cu ajutorul căruia sunt extrase date din sistemul informatic, arată DNSC, în comunicatul de presă, citat de Agrepres.
Se recomandă, în primul rând, verificarea adresei reale de e-mail a expeditorului de pe care sunt transmise mesajele prin suprapunerea cursorului peste adresa expeditorului (caz în care trebuie să apară acelaşi expeditor). Acţiunea trebuie întreprinsă mai ales în situaţia în care mesajul pare să vină de la o persoană legitimă, cunoscută, având un conţinut identic cu cel al unui e-mail primit anterior, fără a exista motive ca acesta să fi fost transmis din nou de la acelaşi expeditor.
În acelaşi timp, trebuie implementată de urgenţă politica DMARC la nivel de domeniu, măsura fiind necesară întrucât filtrele anti-phishing şi anti-spam sunt cele mai eficiente în momentul implementării acestei politici şi astfel pot fi evitate încă din fază incipientă atacurile care vizează infrastructurile cibernetice şi verificat fluxul de mesaje e-mail, în vederea identificării celor care conţin linkul maliţios hxxps://onedrive[.]live[.]com/download?cid=AA923B0E0F7A6594&resid=AA923B0E0F7A6594%21107&authkey=ABibU7JaU8GKdaY ori altele similare (ce aparţin domeniului onedrive.live.com), specifice acestei campanii maliţioase.
În situaţia în care sunt identificate astfel de mesaje e-mail, se impune verificarea sistemelor informatice pe care au fost deschise, pentru stabilirea posibilelor infecţii. Totodată, specialiştii recomandă actualizarea filtrelor anti-spam (sa-learn) şi insistă pentru implementarea unor măsuri de securitate cibernetică cu caracter general, precum sporirea vigilenţei, care este principalul atu avut oricând la dispoziţie de către un utilizator obişnuit.
„Trebuie manifestată atenţie la verificarea e-mailurilor primite, în special a celor care conţin ataşamente! Virusul Trojan Stealer este încă activ, se propagă prin intermediul e-mailului şi vizează deopotrivă persoane fizice, instituţii publice sau companii private. În cazul existenţei unor suspiciuni legate de veridicitatea conţinutului mesajului, se impune verificarea autenticităţii informaţiilor oferite de către presupusul expeditor direct cu acesta, utilizând alt canal de comunicare (preferabil telefonul)”, subliniază specialiştii DNSC.
O altă măsură este scanarea cu o soluţie de securitate instalată pe dispozitiv, sau cu una disponibilă gratis online, pentru link-urile sau ataşamentele suspecte din căsuţa de e-mail, scanarea cu antivirus nefiind însă suficientă, deoarece Trojan Stealer nu este uşor de identificat şi interceptat, acesta eludând de multe ori soluţiile antivirus convenţionale. Este recomandată şi implementarea de filtre la gateway-ul de e-mail pentru a înlătura e-mailurile cu indicatori cunoscuţi de spam sau malware şi pentru a bloca adresele IP suspecte din firewall.
”Trojan Stealer profită adesea de vulnerabilităţile identificate în serviciile care rulează în background, pentru a se răspândi pe alte computere din reţea. Remote Desktop Protocol (RDP), tehnologia care ne permite lucrul de la distanţă, este un astfel de exemplu. Utilizatorilor li se recomandă să dezactiveze astfel de servicii dacă nu sunt necesare, pentru a împiedica malware-ul să le exploateze şi să se propage în reţea”, explică specialiştii. Ei menţionează şi necesitatea instalării unei soluţii de control al aplicaţiilor.