La truffa che in questi giorni sta prendendo di mira la cassa malati KPT, di cui abbiamo dato un anticipo ieri, non è un tentativo di phishing come inizialmente ipotizzato. KPT ci ha infatti spiegato che stando a loro recenti scoperte si tratta in realtà di una campagna di malware. L'obiettivo dei cybercriminali è dunque quello di installare un software dannoso sul dispositivo della vittima. La cassa malati ci ha poi spiegato che queste mail fraudolente sono in circolazione dalla fine della scorsa settimana e a prima vista sembrano autentiche. Come detto ieri, ai destinatari viene chiesto di cliccare su un link e di aprire un documento (ad esempio un promemoria). "Abbiamo riconosciuto immediatamente queste attività e pubblicato avvisi appropriati per i nostri assicurati sul nostro sito web, nel portale clienti e sui social media. Abbiamo inoltre adottato diverse misure per bloccare i falsi link. Naturalmente siamo in contatto con le autorità competenti, come l'Ufficio federale per la sicurezza informatica". Tali campagne di malware o phishing "non sono un fenomeno nuovo", sottolinea KPT. "Nell'attuale ondata, oltre alla KPT sono state colpite altre aziende tra cui un'altra assicurazione sanitaria". KPT non ha tuttavia potuto fornire informazioni sul gruppo target dell'attacco, né i Cantoni particolarmente interessati.
Altre società prese di mira
Il fenomeno, si sa, non è nuovo. Attualmente, si legge sulla pagina dell'Ufficio federale della cibersicurezza (UFCS), presunte fatture o solleciti vengono inviati a nome della società di recupero crediti Intrum, ma anche a nome di varie compagnie di assicurazione sanitaria. La lettera chiede di cliccare su un link per visualizzare le fatture in sospeso o per salvarle in formato PDF. Anche in questo caso, l'obiettivo degli aggressori è quello di indurre la vittima a scaricare un malware, in questo caso noto come malware "Lumma Stealer". Ad essere colpiti solo gli utenti Windows, mentre gli smartphone con Android o iOS, così come i computer con altri sistemi operativi, non sono interessati in questo caso. Il link è un cosiddetto link WebDAV. Vengono attivate le seguenti attività:
- Un primo stadio del malware viene caricato in background
- Questo carica altri componenti e li esegue sul dispositivo
- Viene visualizzato in primo piano un documento PDF con una presunta fattura
Lumma
Lumma è un cosiddetto modello di business "Malware-as-a-Service (MaaS)" in cui i criminali informatici forniscono il malware e l'infrastruttura associata a pagamento, consentendo anche agli aggressori meno esperti di portare a termine cyberattacchi complessi. Il malware "Lumma" è specializzato nel furto di dati sensibili come password, informazioni del browser e dettagli dei portafogli di criptovalute. "Lumma Stealer" era già stato notato dall'UFCS un mese fa. All'epoca, gli aggressori utilizzavano il processo di verifica dei CAPTCHA per indurre le vittime a installare il malware.
Raccomandazioni:
- Non cliccate sul link.
- Se siete in attesa di un sollecito, contattate l'agenzia di recupero crediti o la compagnia di assicurazione sanitaria per chiarire se la richiesta è effettivamente giustificata. A tale scopo, utilizzate i dettagli di contatto presenti sui siti web ufficiali delle società.
- Se si sospetta che il malware sia stato installato, rivolgersi a un negozio di informatica specializzato. La cosa più sicura da fare è reinstallare completamente il computer. Non dimenticate di fare un backup di tutti i vostri dati personali e di cambiare le password per tutti gli accessi online (e-mail, social network, ecc.) dopo la reinstallazione.