Trygve Aasland, CEO della società di sicurezza Norman, ha segnalato la presenza di numerose email che stanno circolando in questo periodo rivolte a numerosi CEO di diverse società di tutto il mondo, che invitano a visitare un collegamento Internet molto particolare, ma che in realtà costituiscono un vero e proprio pericolo per la sicurezza del nostro sistema operativo.
Non tutti i CEO, ovviamente, hanno a che fare con società di sicurezza informatica e in molti casi non sarà stato difficile installare il trojan che si scarica cliccando sul link contenuto nell’email. Anche stavolta, come ormai spesso succede da diverso tempo, siamo in presenza di un caso di quello che è stato definito come spear phishing, una minaccia mirata ad un gruppo specifico di persone.
L’attacco funziona in un modo non troppo originale, utilizzato anche altre volte nella stessa modalità di realizzazione. Il CEO riceve una mail che si dice essere inviata dal tribunale federale degli Stati Uniti, nella quale si informa la vittima del fatto che è stata per qualche motivo citata in giudizio e si invita a prendere atto dei documenti necessari cliccando appunto in un link che aprirà un sito cinese, nel quale verrà richiesto di installare un plugin necessario a visualizzare i documenti, che ovviamente è un pericoloso trojan, capace di aprire la porta a malintenzionati intenzionati a spiare le attività e i documenti personali o dell’azienda in cui lavora il CEO.
Il trojan si scarica mostrandosi come un archivio con estensione CAB con firma digitale. Una volta estratto il file contenuto al suo interno, di nome acrobat.exe, la dll di nome acrobat.dll sarà il cavallo di Troia vero e proprio che permetterà ai criminali di accedere al sistema attraverso Internet.
In questo caso alcuni elementi dell’email sono stati realizzati con molta cura, e non portano l’utente a diffidare dalla comunicazione, poiché non ci sono errori di grammatica nel testo e viene indicato correttamente il nome dell’azienda e del CEO. A volte è addirittura presente anche il numero di telefono corretto della vittima, che prenderà facilmente la verità di questi dati come una garanzia della veridicità dell’email.