Directoratul Naţional de Securitate Cibernetică (DNSC) atrage atenţia asupra faptului că, începând cu data de 25 martie 2022, este în desfăşurare o campanie cibernetică maliţioasă cu malware de tip Trojan Stealer, via email, care vizează instituţii de stat şi private din România.
"Atacatorii impersonează instituţii publice sau companii private din România, folosind liste de adrese de email existente în calculatoarele atacate, pentru a transmite şi propaga mesaje ce conţin linkuri infectate precum: hxxps://onedrive[.]live[.]com/download?cid=204A4E2E2BFCF3CA&resid=204A4E2E2BFCF3CA%21110&authkey=AD5eSXevs3QExIU . Prin accesarea linkului respectiv este descărcat un fişier Excel Macro (de tip Trojan Stealer) după care, odată cu activarea funcţiei Macro, este instalat un program maliţios cu ajutorul căruia sunt extrase date din sistemul informatic", semnalează specialiştii DNSC printr-un comunicat postat pe site-ul instituţiei.
Aceştia recomandă, în primul rând, verificarea adresei reale de mail a expeditorului de pe care sunt transmise mesajele prin suprapunerea cursorului peste adresa expeditorului (caz în care trebuie să apară acelaşi expeditor). Acţiunea trebuie întreprinsă mai ales în situaţia în care mesajul pare să vină de la o persoană legitimă, cunoscută, având un conţinut identic cu cel al unui email primit anterior, fără a exista motive ca acesta să fi fost transmis din nou de la aceeaşi expeditor.
În acelaşi timp, trebuie implementată de urgenţă politica DMARC la nivel de domeniu, măsura fiind necesară întrucât filtrele anti-phishing şi anti-spam sunt cele mai eficiente în momentul implementării acestei politici şi astfel pot fi evitate încă din fază incipientă atacurile care vizează infrastructurile cibernetice şi verificat fluxul de mesaje email, în vederea identificării celor care conţin linkul maliţios hxxps://onedrive[.]live[.]com/download?cid=AA923B0E0F7A6594&resid=AA923B0E0F7A6594%21107&authkey=ABibU7JaU8GKdaY ori altele similare (ce aparţin domeniului onedrive.live.com), specifice acestei campanii maliţioase.
În situaţia în care sunt identificate astfel de mesaje email, se impune verificarea sistemelor informatice pe care au fost deschise, pentru stabilirea posibilelor infecţii.
Totodată, specialiştii recomandă actualizarea filtrelor anti-spam (sa-learn) şi insistă pentru implementarea unor măsuri de securitate cibernetică cu caracter general, precum sporirea vigilenţei, care este principalul atu avut oricând la dispoziţie de către un utilizator obişnuit.
"Trebuie manifestată atenţie la verificarea emailurilor primite, în special a celor care conţin ataşamente! Virusul Trojan Stealer este încă activ, se propagă prin intermediul emailului şi vizează deopotrivă persoane fizice, instituţii publice sau companii private. În cazul existenţei unor suspiciuni legate de veridicitatea conţinutului mesajului, se impune verificarea autenticităţii informaţiilor oferite de către presupusul expeditor direct cu acesta, utilizând alt canal de comunicare (preferabil telefonul)", subliniaază specialiştii DNSC.
O altă măsură este scanarea cu o soluţie de securitate instalată pe dispozitiv, sau cu una disponibilă gratis online, pentru link-urile sau ataşamentele suspecte din căsuţa de mail, scanarea cu antivirus nefiind însă suficientă, deoarece Trojan Stealer nu este uşor de identificat şi interceptat, acesta eludând de multe ori soluţiile antivirus convenţionale.
Este recomandată şi implementarea de filtre la gateway-ul de email pentru a înlătura e-mailurile cu indicatori cunoscuţi de spam sau malware şi pentru a bloca adresele IP suspecte din firewall.
"Emailurile suspecte trebuie raportate departamentului IT pentru izolare şi investigare. Verificaţi periodic regulile contului de e-mail, ce pot fi setate pentru redirecţionarea automată a tuturor mesajelor, ceea ce ar putea duce la o scurgere de date, dacă există o infecţie. Pentru a vă proteja eficient împotriva Trojan Stealer, trebuie să vă concentraţi în principal pe poarta principală de acces a malware-ului: comunicarea prin e-mail. Trojan Stealer se ascunde adesea în fişierele Microsoft Office şi are nevoie de macrocomenzi pentru a putea instala malware-ul dorit, este logic să nu le permiteţi. Dacă totuşi nu vă puteţi desfăşura activitatea fără macrocomenzi, este posibil să le permiteţi numai celor semnate", subliniază experţii în cibersecurity.
Aceştia mai recomandă actualizarea de urgenţă a sistemelor de operare, programelor antivirus, browserelor web, clienţilor de e-mail şi a programelor de tip Office şi dezactivarea serviciilor neutilizate.
"Trojan Stealer profită adesea de vulnerabilităţile identificate în serviciile care rulează în background, pentru a se răspândi pe alte computere din reţea. Remote Desktop Protocol (RDP), tehnologia care ne permite lucrul de la distanţă, este un astfel de exemplu. Utilizatorilor li se recomandă să dezactiveze astfel de servicii dacă nu sunt necesare, pentru a împiedica malware-ul să le exploateze şi să se propage în reţea", explică specialiştii.
Ei menţionează şi necesitatea instalării unei soluţii de control al aplicaţiilor.
"Utilizatorii pot lua în considerare instalarea unui astfel de software care oferă listă albă de aplicaţii şi/sau directoare. Astfel, se permite rularea exclusiv a programelor aprobate, în timp ce se restricţionează altele. Este o practică bună de securitate pentru a proteja un sistem informatic", spun aceştia.
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News