Tra le estensioni file più prese di mira dai cybercriminali figurano, di frequente, formati come HTML, PDF e XLSX. Difficilmente, però, è difficile trovare un malware capace di agire che tutti in contemporanea.
Stiamo parlando di Darkgate, agente malevolo già noto da diversi mesi, che però sembra aver cambiato strategia e canali di diffusione. Come riportato dai ricercatori di Forcepoint, questo malware viene diffuso attraverso e-mail phishing che contengono file con le suddette estensioni, prendendo di mira gli utenti Windows.
Attraverso sottili strategie psicologiche e con l’adozione di file ben conosciuti alle potenziali vittime, le infezioni di Darkgate sembrano essere in rapido aumento. Stando a quanto affermato da Forcepoint, la maggior parte di casi vedono un’e-mail che riporta ul PDF che riguarda una presunta fattura creata attraverso uno strumento apposito, ovvero la suite Intuit Quickbooks.
Una volta che il file viene aperto, l’utente viene a cliccare su un link. Questo, invece di dirigere verso un sito esterno, avvia il download del payload vero e proprio che avvia l’infezione.
Darkgate cambia tattica per favorire le infezioni: come evitare disastri?
Il file scaricato è caratterizzato dall’estensione .jar, con modalità molto simili a quanto avveniva nel contesto di un altro famigerato malware, ovvero QakBot. A livello pratico, il file è utile ai cybercriminali per offuscare uno ZIP che, auto-attivandosi, avvia un file curl.exe.
Come è possibile evitare potenziali infezioni da parte di Darkgate o altri malware simili?
In realtà esistono diversi passi che offrono una copertura più o meno completa rispetto a questo tipo di minacce. L’adozione di un antivirus e fare grande attenzione rispetto agli allegati delle e-mail e ad eventuali link presenti internamente a tali file.
Nel complesso, avere un atteggiamento prudente rispetto alla posta elettronica ricevuta è di certo un ottimo modo per evitare rischi di ogni tipo.