Mail virus: LokiBot, il malware "celato" dietro un file PNG

Oggi parleremo di una nuova mail virus che sta allertando parecchi settori produttivi e aziende in tutto il mondo. Si tratta di un malware che si sta diffondendo a macchia d’olio, chiamato LokiBot, la cui particolarità è quella di riuscire a nascondersi all’interno di un’immagine.
Si tratta di uno SCAM, ovvero di una truffa, tema trattato in un precedente articolo sulle mail ricatto.
Proprio per il modo apparentemente innocuo con cui si presenta questo pericoloso trojan, esso potrebbe essere in grado di sfuggire ad alcuni sistemi di protezione spam e virus presenti sui propri dispositivi.
Nel caso in cui l’allegato venga aperto, questo malware potrebbe rubare dati e informazioni archiviati nei computer infettati.
In realtà però, LokiBot è solo una versione “modificata” di un pericoloso trojan bancario che nasce nel 2017, scoperto in Olanda da alcuni ricercatori della società di sicurezza SfyLabs.

La grande diffusione di questa minaccia informatica sta proprio nel fatto che il suo codice può essere acquistato nel deep web da hacker e malfattori per vie traverse, a poco più di 300 dollari ed ha un codice facilmente modificabile da chiunque abbia un po’ di esperienza in ambito tecnico e di programmazione come ad esempio gli hacker.
Prima di proseguire, vogliamo introdurre una piccola parentesi sulla differenza tra virus, malware e trojan, per comprendere meglio l’argomento.

Differenze tra Virus, Trojan e Malware

Ecco una piccola spiegazione su questi 3 termini che possono sembrare simili tra loro.

Virus

Un virus è un software in grado di eseguire delle istruzioni ad insaputa dell’utente per scopi spesso illegali, dal furto di dati fino al danneggiamento del PC. La sua diffusione da un PC ad un altro avviene generalmente tramite il trasferimento di un file che contiene il malware in questione, per esempio infettando chiavette USB che poi vengono utilizzate su altri terminali.

Malware

Questo termine, derivato dalla fusione delle parole Malicious e Software, indica la categoria al cui interno appartengono i virus e trojan, oltre ad altre categorie di malware come spyware, rootkit, worms,etc.
Alcuni malware sono anche una combinazione di altri malware, come ad esempio VPN Filter, una minaccia informatica che provocato diversi danni nel 2018.

Trojan

Trojan Horse, la cui traduzione in italiano è Cavallo di Troia, è una tipologia di malware che deve il suo nome al fatto che una volta intrufolatosi nel terminale dell’utente, spesso tramite espedienti che camuffano il malware per altri file normali, questo apre una porta di accesso dall’esterno che consente ad un malintenzionato di accedere a file e cartelle o anche di eseguire ulteriore codice nocivo sul PC infetto.

Come si scatena il Malware LokiBot

Ora che abbiamo spiegato molto brevemente le differenze tra virus, trojan e malware, torniamo a capire come si presenta il Trojan LokiBot e cosa succede qualora un PC venisse infettato.

Esso ha tre caratteristiche principali:

Il trojan ha l’aspetto di un normale eseguibile, compresso in un file .ZIPX. Generalmente questo formato non impedisce al codice di evitare di essere catalogato come “pericoloso” dai nostri sistemi di protezione delle caselle di posta elettronica, ma…
Degli ingegnosi hacker hanno trovato il modo per ingannare gli scanner di sicurezza delle e-mail, nascondendo il file .ZIPX all’interno di un normale file immagine con estensione .PNG realizzato per il fine malevolo previsto dal virus.
Tale file contiene tutti i normali elementi di un file immagine, tra cui i tag “header” e “IEND”, i quali depistano gli scanner antivirus, tuttavia, un diffuso software di compressione file come WinRar riesce a riconoscere il file ZIPX, fornendo all’utente modo di accedere al codice ed infettare a sua insaputa il PC.
Altro dettaglio, riguarda il fatto che coloro che hanno inventato questa nuova versione di LokiBot hanno trovato il modo di associare l’icona di un’immagine JPEG al file PNG come ulteriore sistema di depistaggio dei sistemi antivirus.

Le informazioni presenti in questo articolo sono di carattere prevalentemente tecnico/informatico, pertanto per saperne di più, ti consigliamo di rivolgerti ad un’azienda informatica, come EuroSpace, per far analizzare meglio la situazione, nel dubbio di essere stati colpito da tale virus. In questo articolo vogliamo indicarti solo le nozioni principali per darti la possibilità di poter riconoscere la minaccia, evitando di entrare in lunghi tecnicismi.

Come evitare il Trojan LokiBot

Ecco alcuni semplici consigli per evitare di essere vittime di LokiBot:

Evitare di aprire o decomprimere file di posta elettronica di cui non siamo certi della provenienza. Sembra banale ma è l’unico modo per evitare la diffusione del malware
Anche se il mittente è conosciuto, prestare ugualmente attenzione, in quanto può accadere che un malware si possa diffondere attraverso le rubriche contatti delle vittime. Quindi nel dubbio, prima di aprire un file “sospetto”, chiedere sempre conferma al mittente
In ambito aziendale, rendere consapevoli utenti e dipendenti dei rischi che si possono correre aprendo mail spam in modo inaccurato
Fare attenzione ad errori ortografici o termini insoliti o inappropriati, soprattutto se la mail è in italiano: sembra scontato, ma pochi hacker hanno ottime competenze nella nostra lingua
Utilizzare un buon sistema antivirus in grado di proteggere la salute dei vostri sistemi aziendali
Fare riferimento al proprio reparto IT aziendale, effettuando controlli periodici o affidarsi ad un’azienda informatica competente che possa fornire supporto tecnico e sistemistico adeguato, come ad esempio EuroSpace.

La nostra azienda dispone di un reparto IT, con tecnici preparati e competenti, in grado di chiarire qualunque dubbio in ambito di sicurezza informatica.
Forniamo anche soluzioni per la protezione dei tuoi PC, su misura per ogni esigenza.

Puoi vedere tutti i servizi IT che proponiamo sul sul nostro sito: https://www.eurospace.it/consulenza-informatica/assistenza-tecnica/