Una nuova cyber minaccia, Pikabot, prende di mira le caselle email italiane mediante tattiche di malspam.
Nel panorama delle minacce cyber, una particolare attenzione è stata recentemente richiamata verso una campagna di malspam che sta colpendo gli utenti italiani, sfruttando allegati malevoli in formato XLS. Le comunicazioni provenienti dall’ente di attenzione agli incidenti di sicurezza informatica, conosciuto come CERT-AgID, mettono in guardia dall’apertura di questi allegati che celano un’accorta strategia per scaricare codice nocivo sui dispositivi degli utenti.
Le email ingannevoli inducevano all’apertura di un allegato Excel, caratterizzato da un invitante pulsante “Open”. Quest’ultimo, però, non era innocuo come poteva sembrare: era l’inizio di una connessione SMB, utilizzata per il trasferimento di file in rete, che avrebbe portato al download di uno script JavaScript dannoso. La scaltrezza dell’inganno risiedeva proprio in questo meccanismo apertamente insidioso, pensato per aggirare la vigilanza dell’utente.
La questione impone un assunto fondamentale: è vitale mantenere uno stato di costante allerta di fronte a messaggi email che sfuggono alla norma, soprattutto quando contengono segni distintivi del phishing, quali un linguaggio che incita all’urgenza o all’allarme, e possibili errori di battitura o di logica nei testi. Queste indicazioni spesso celano intenti fraudolenti e rappresentano un campanello d’allarme non trascurabile.
Segnali premonitori di phishing, quali comandi di effettuare azioni non pianificate – come fornire informazioni personali, cliccare su link sospetti o aprire allegati non attesi – dovrebbero sempre essere presi seriamente in considerazione e analizzati con prudenza. Una verifica dell’autenticità del mittente o dei link presenti nel messaggio, magari anche contattando direttamente l’entità presumibilmente originaria della comunicazione, costituisce una prassi prudente e raccomandabile.
In questo contesto, emerge la minaccia costituita da Pikabot, un trojan malware le cui prime apparizioni sono state registrate all’alba del 2023. La sua architettura modulare, composta dal loader e da un modulo centrale, permette a Pikabot di stabilire delle backdoor nei sistemi infettati, attraverso le quali gli hacker possono orchestrare accessi remoti e prendere il controllo del dispositivo colpito.
La maniera in cui Pikabot raggiunge i dispositivi delle vittime è ancora avvolta nel mistero, ma ciò che è certo è il suo potenziale dannoso: una volta entrato in azione, Pikabot può gestire una varietà di ordini impartiti dai suoi orchestratori, perpetrando atti come l’iniezione di shellcode e l’esecuzione di file arbitrari. La sua capacità di esaminare ambienti sandbox per sfuggire ad analisi e la presenza di payload criptati in immagini PNG ne fanno un avversario subdolo e resistente alle misure di sicurezza ordinarie.
La peculiarità di Pikabot di autoeliminarsi qualora rilevi la configurazione di sistema in lingue come georgiano, kazako, uzbeko, o tagiko suggerisce che il suo bersaglio potrebbe essere circoscritto a precise aree geografiche. Le connessioni con altri malware noti, come il Matanbuchus e il suo status segnalato come versione 0.1.7, ci offrono un ritratto di Pikabot ancora in fase di sviluppo, ma già sufficientemente avanzato da richiedere misure di prevenzione e una sorveglianza continua per sventare possibili danni.