Non sei connesso a internet.
Corporate logo
Sapere 65246

Indagando le digitec phishing mail

Attualmente stanno circolando di nuovo delle mail che invitano ad effettuare un pagamento di un articolo digitec. Queste mail sono contraffatte e provengono da un mittente sconosciuto. Stiamo ora analizzando i vari indizi. Chi sono gli hacker che vi mandano queste phishing mail? E, per cortesia, non aprite gli allegati di messaggi sospetti.

Allarme al servizio clienti. Diversi clienti hanno riferito di aver ricevuto delle mail da parte nostra che sono evidentemente contraffatte. Questi messaggi richiedono di effettuare un pagamento di un determinato importo per un ordine che non viene menzionato nella mail.

Il messaggio è corto e conciso.

Questa mail non ci offre moltissime tracce su cui basarci per la nostra indagine, ma dimostra che le persone che hanno scritto questo messaggio probabilmente non parlano tedesco. Altrimenti i phisher si sarebbero dati la briga di scrivere un breve messaggio, cosa che non hanno fatto. La mail contiene le informazioni di pagamento e un documento word in formato «.docx» come allegato.

Diamo un secondo sguardo alla mail

La mail proviene da vari indirizzi di posta elettronica, come Digitec@ropa-maschinenbau.de, un’azienda che produce grossi macchinari. Ovviamente, noi non abbiamo un’altra sede presso Ropa. E gli hacker non stanno certamente seduti presso uno degli uffici di Ropa, ma utilizzano un punto debole del loro sistema di posta elettronica. Oppure le mail sono configurate in maniera tale da fare apparire un altro indirizzo come mittente.

Queste mail possono così provenire da molteplici indirizzi email, tutte quante di aziende che non hanno sicuramente interesse a farvi del male. Tuttavia, la cosa interessante è che sono state rapportate anche delle mail che provengono dal dominio digitec.com. Questo dominio non è nostro e appartiene a qualcun altro.

Il risultato della nostra ricerca è il seguente: il dichiarente del dominio digitec.com sembrerebbe risalire ad una certa Digitec Corporation di Yonkers, New York. Abbiamo ricercato ulteriormente e possiamo dire che effettivamente esiste una Digitec Corporation in questa posizione.

La Digitec Corporation sulla cartina

Possiamo dedurre che i criminali in questione – sempre che siano i proprietari del dominio – si sono beccati Digitec.com da un bel po’, poiché hanno il dominio ancora fino a giugno 2019. Ciò vuol dire che hanno comprato il dominio cinque mesi fa o due anni e cinque mesi fa.

Ma attenzione: la prova che non sia la Digitec Corporation a nascondersi dietro le mail, è che l’indirizzo di posta elettronica registrato dal dominio è digitec@compuserve.com. In questo caso si tratta di un provider di posta elettronica gratuito del gigante AOL.

L’allegato

Il payload, cioè la parte dell’attacco che danneggia il tuo PC si nasconde nell’allegato della mail. In allegato trovi un file docx: un documento che vuole essere aperto con Microsoft Word. Una volta aperto il documento si presenta in questo modo:

L’allegato aperto

Das ist Detaillierung Ihr Konto (Questo è il “dettagliatamento” del suo conto)

Um Quittung zu sehen, klicken Sie zwei Mal auf dem Bild. (Per vedere la fattura, clicchi due volte sull’immagine.)

L’utilizzo scorretto del tedesco (cfr. traduzione scorretta in italiano) è un ulteriore indizio sul fatto che gli assalitori non parlino tedesco. Qualsiasi studente di scuola elementare di lingua madre tedesca avrebbe un livello linguistico decisamente più elevato.

IMPORTANTE: Non avviare mai gli allegati di email sconosciute. Già solo aprire il documento potrebbe essere molto pericoloso. Non ci assumiamo alcuna responsabilità per eventuali danni al tuo computer.

Il payload

Facendo doppio click sull’immagine nelle impostazioni standard di Windows si da inizio a un JavaScript che avvia un ulteriore codice.

L’inizio del codice del payload

Un professionista di sicurezza informatica ha dato un’occhiata al codice. Il suo sospetto: “sembrerebbe un codice compilato in JavaScript”. Gli aggressori sono stati molto furbi: hanno scritto il codice in una lingua diversa da JavaScript, lo hanno criptato e poi lo hanno racchiuso in un codice comprensibile da qualsiasi dispositivo. Anche la decodificazione può essere letta ed avviata dai dispositivi.

Un estratto dal pezzo criptato del payload

Con il tempo ed i mezzi che ho a disposizione non posso dire esattamente ciò che faccia il programma. L’ipotesi dell’esperto: “con grande probabilità il programma scaricherà più malware”. Attualmente, esperti in-house ed esterni stanno effettuando ulteriori analisi e stanno cercando le tracce nel codice.

Come mandiamo le fatture noi di Digitec.ch

Sappi che noi diamo un’importanza particolare alla sicurezza. Ora però, non possiamo darti ulteriori informazioni che fanno luce su questo contesto. Non solo perché non vogliamo rivelartele, anche perché potrebbero essere utilizzate dagli aggressori contro di noi o contro di te.

Infatti, il caso attuale dimostra che noi siamo un obiettivo. E vogliamo dare agli aggressori il minimo possibile in quanto a risorse e informazioni. Il caso in questione dimostra che questi aggressori ci conoscono, ma fortunatamente non ci conoscono abbastanza. Fate come noi e non date alcuna chance a queste evidenti contraffazioni!

Ma ecco un po’ di informazione per te: noi di Digitec Galaxus inviamo fatture sempre ed esclusivamente in formato PDF. Qualsiasi fattura dovessi ricevere a nome di digitec, una cosa è chiara – se non è in formato PDF, non è stata inviata da parte nostra.

In questo senso, mettiti al sicuro e non aprire assolutamente email che sembrano strane o sospette, anche se appare il nome di digitec o Galaxus. Gli unici domini che vengono da noi utilizzati per la corrispondenza elettronica sono @digitec.ch, @digitecgalaxus.ch e @galaxus.ch.

Update: Cosa devi fare se vieni infettato?

Se per errore hai fatto doppio click sull’immagine, non disperarti, non è tutto perduto. Il nostro reparto di informatica ha decodificato il codice della mail e ha scoperto la funzione del malware.

Il tuo computer, o meglio il tuo browser, vengono modificati in maniera tale da poter visitare pagine web senza il proxy .onion normalmente richiesto. Quest’ultime si trovano nel cosiddetto Dart Net. Inoltre, l’allegato installa un certificato che permette al tuo computer di visitare diversi siti nel codice che non sono aperti al pubblico. Attualmente non sappiamo ancora ciò che succede sul sito. È possibile che vi vengano attaccati altri software. Un’altra ipotesi del nostro reparto informatica è che i siti vengano utilizzati come siti di controllo per Botnets o simile. Teoricamente, con la connessione al sito .onion è possibile dare i comandi al tuo computer.

I seguenti passi dovrebbero aiutarti a sconfiggere l’infezione:

  1. Apri Firefox
  2. Inserisci about:config nella barra degli indirizzi
  3. Cerca network.dns
  4. Nei computer infetti la riga network.dns.blockDotOnion è contrassegnata con false
  5. Modifica il valore in true e l’accesso al Dark Net verrà così bloccato. Secondo le ultime scoperte, il certificato dovrebbe così risultare inefficace.
  6. Rimuovi il certificato secondo le istruzioni di Microsofts o Apple

Questa operazione non annulla tutti i cambiamenti effettuati dal malware sul tuo computer, ma gli taglia il canale di comunicazione con il Dark Net. Secondo il nostro stato di conoscenza attuale, il malware verrà così reso innocuo anche se sul tuo PC dovessero rimanere dei dati. Attualmente stiamo lavorando per creare un manuale per una rimozione completa del malware.

Update II: il codice è stato completamente decifrato!

Christian Margadant e il suo team sono riusciti a decifrare completamente il codice maligno. Ora sappiamo esattamente cosa vogliono i Phisher, come lo fanno e come puoi liberarti dello script maligno.

Ciò che vogliono veramente i <strong>digitec Phisher</strong>
Sapere

Ciò che vogliono veramente i digitec Phisher

User
Giornalista. Autore. Hacker. I miei temi hanno a che fare principalmente con Android o Apple iOS. Anche la sicurezza informatica è molto importante per me, poiché oggi la privacy non è più una questione secondaria bensì una strategia di sopravvivenza.

65 Commenti

Per favore, effettua il login.

Devi effettuare il login per scrivere un nuovo commento.


User haba_nvl

Super von Digitec die Spur aufzuzeigen, so kann man dazulernen. Besten Dank!

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Bande128

Absolut! Ich komme des Öfteren nur auf die Website, um die Blogbeiträge zu lesen. Sehr spannend und informativ! Freue mich auf weitere Beiträge!

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User raphischaerli

Letstens habe ich ein Fishing Mail bekommen von der "UBS" (bin aber kein Kunde :D). Habe dies dem Support von der UBS gemeldet, die haben mir einfach gesagt ich solle es ignorieren, aber handeln werden Sie nicht...
Das ist doch mal Kunden Orientiert...

Naja, @Digitec macht dies aber viel viel besser.

25.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User Butzemanne

Danke für den Beitrag, ich finde es auch irgendwie cool das ihr versucht herauszufinden was die Phishing Datei genau macht :)

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User ademkujovi

Sehr interessanter Artikel! Danke für den ausführlichen Bericht! Man fühlt sich wie in einem Hacker-Film beim Lesen.

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User cyberlolo

Merci Digitec et Dominik.
Il est rare de lire sur un site e-commerce de tels détails sur des investigations en cours.
Belle preuve de transparence de votre part.

10.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User dharmapriya

Thank you very much for going through the trouble of translating the content to English, much appreciated.

14.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User fabianwuest

Leute, verlasst euch nicht auf Virenscanner! Die Signatur der Virendateien kann ziemlich einfach geändert werden und schon wird der Virus resp. Trojaner für etwa 2 Tage von KEINEM Antivirus erkennt!! Einfach Anhang nicht öffnen, resp. die automatische Makroausführung deaktivieren und Hirn ein!

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User R210395

Mein Vater hat letztens auch eine solche Mail bekommen, nur stammte diese von der "Post". Quittung war auch in einer .docx Datei sehr verschwommen dargestellt.

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User ntconsulting

I just received a mail this afternoon from "Digitec@digitech.eu". If it can help you this is the remote IP sending the mail 81.149.22.160.
The subjet of the mail is "Ihr Bestellung N-1132394 vom 10.11.2016", and of course "virus-free" tested by Avast ...

10.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User ManuelLuzern

Hatte die Woche auch ne Mail von "Digitech" mit angeblichlicher Rechnungsübersicht .. direkt in Spam Ordner.

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User anditecco

Leider hat digitec seit mehreren Monaten aber auch ein wirkliches Problem damit, dass ihre Emails als Spam klassifiziert werden, weil die Zertifikate nicht stimmen.

Bitte räumt da auf!

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Deville_TGR

"Wir arbeiten daran, eine Anleitung für vollständige Beseitigung der Malware zu erstellen."
Also OS neu aufsetzen?

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User hayloftit

Hallo Digitec-Team
Super, dass ihr den Leuten erklärt, wie solche Mails in Umlauf kommen und dass das scheinbare Unternehmen keinen Einfluss auf solche E-Mails hat. Zur Ergänzung: Die E-Mail welche ich bekommen habe, wurden mit der Absenderadresse digitech.com und nicht digitec.com versendet. Gruss

06.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User varun.c.jain

Compliments on your impeccable command over English in addition to your mother-tongue. The article reads so well, even though I know it has been written by a non-native speaker of English.

14.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Dominik Bärlocher

Hey there

Thank you for the kind words. Even though I am indeed a native speaker, this is not my work at all. I wrote the original German article and then moved on to further research into the phishing issue. The translation was done by Jessica who is also a native speaker. So all credit is hers. But I agree, she did an excellent job and so I've taken the liberty and forwarded your comment to her.

14.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User keen4000

Ich kann problemlos eine E-Mail mit der Absenderadresse info@digitec.ch versenden, ich muss dazu weder Zugriff auf euren Mailserver erlangen noch besondere Hacker-Kenntnise haben. Auf die Absenderadresse darf man sich daher NIE verlassen!

28.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User HappyCPU :)

Wer sowas anklickt ist einfach selber schuld und lernt vlt wenigstens was daraus

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Hugoboss

Der Mensch ist neugierig. Frag mal Eva. Neugierde>rationales Denken.

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User ramockli2345

bei mir wurde es automatisch ausgeführt ohne diess zu öffen

04.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User timcbaoth

Möglicherweise genau wegen der Antivirus-Software: securityintelligence.com/ne...

08.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User geniol

Nicht alle Leute sind technikversiert.

05.03.2017
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User Anonymous

Hallo Dominik
Was sagt denn der Maiheader?
Dort sollte eigenlich die Absende-URL oder IP enthalten sein.

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User rolfzubi

Windows 10 hat bereits einen Virenscanner installiert und automatisch aktiviert wenn kein anderer Virenscanner zusätzlich installiert wurde. Dieser arbeitet recht zuverlässig.

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User pcfreack12

Virenscanner sind eine gute Sache, jedoch kann man sich nicht darauf verlassen. Mit dem Virenscanner werden mehrheitlich Viren gefunden, welche schon gefunden wurden. Wurde ein Virus noch nicht entdeckt erkennt der Virenscanner auch den Virus nicht. Wichtig ist das Verhalten des Users.

13.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User geniol

Ich empfehle zusätzlich zum Gratis-Virenscanner einen Malware-Scanner wie Malwarebytes Anti-Malware, der die Festplatte regelmässig nochmal selbst scannt.

05.03.2017
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User karakuyuibo

Hallo Leute. Da steht das die Leute keim Deutsch können aber mich hat riner angerufen der Perfekt Deutsch redet und da ich im der Schweiz lebe hat er dazu noch Perfekt Schweizer Deutsch geredet. Freue mich auf ne antwort.

Mfg

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User pcfreack12

Ja das kann sein. Wie den Menschen bewusst sein muss, auf der Dunklen Seite gibt es Kekse. ;D
In der Kriminellensparte ist es einfacher viel Geld zu verdienen. Da ist es auch möglich, dass ein Schweizer sich auf so ein Abenteuer einlässt. Stell dir vor du verdienst einfach 20'000-250'000 Franken am Tag.

13.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User matthias_a

Eigentlich schade dass sich Zertifikate/signierte Mails und Payloads nie wirklich durchsetzen konnten. So könnten die e-commerce-Betreiber ganz einfach ihre Kommunikation als echt erkennbar machen. Das Problem: schlecht konfigurierte Mailclients und Webmaildienste lassen die Mail dubios aussehen.

06.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Aufklären und warnen anstelle totstellen und schweigen, wie es viele andere machen!
Sehr vorbildlich, Digitec!

09.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User david.ruzicka

Vous devriez aussi simplifier vos noms de domaines utilisés pour l'envoi d'email aux clients:
Il est facile de confondre: @digitecgalaxus.ch et @galaxus.ch
Avec: @digtiecgalaxus.ch et @galexus.ch par exemple...

10.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

There are several ways to counter the spoofing of a email address. The easiest is to add a SPF record for your domain (digitech.ch), which it does not currently have. A good place to check it on mxtoolbox.com.

11.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User speedy_86

But the domain digitecH.ch is not a digitec domain...

14.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User meile

Man sollte auch schreiben, dass Betrüger neu ".info"-Domäne kaufen, die sehr änhlich wie echten CH-Firmen aussehen. Diese Domäne sind nicht teuer. Die Mails werden mit einem kostenlose Dienste gehostet. z.B.: miele-produkte.info, post-ch-privatkunden.info und cncmechanik.info (Garantiert Betrüger)

16.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User chew

Als Mail Administrator muss ich in diesem Kontext auch meine Mail Administratoren Kollegen in die Pflicht nehmen!
Digitec hat einen vorbildlichen spf record "v=spf1 ip4:77.59.236.48 ip4:77.59.236.49 ip4:77.59.236.36 include:mail.zendesk.com include:successfactors.eu -all", was soviel heisst wie...

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User chew

... was soviel heisst wie: Nur die aufgelisteten IP-Adressen sind von digitec autorisiert digitec.ch-emails zu verschicken.
Mein eigener mail server würde noch vor dem Empfangen des Inhalts das mail gar nicht entgegen nehmen.
Ganz offensichtlich gibt es mail server, die die spf Richtlinien von digitec nicht folgen und die spam mails den Kunden in die mailbox stellen.

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User chew

Sorry, hab gerade gesehen, dass die mails gar nicht von digitec.ch Adressen geschickt wurden, sondern von Digitec@ropa-maschinenbau.de.
Vergesst meine Vorwürfe an die Mail Administratoren :-).

05.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Als Mail Admin Kollege muss ich dich in die Pflicht nehmen - SPF ist grundsätzlich eine gute Idee schlecht umgesetzt. Ich würde mich nie im Leben dazu hinreissen lassen bei einem Hardfail ein Mail abzulehnen...

01.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi
User 3d.kelvin

Am beste bestellen wir digitec nicht mehr, oder? sorry schlechter scherz.

10.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Gooble Gobble

Am Besten immer im Voraus bezahlen ;)

01.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Rispondi