Alcuni hacker stanno usando MailChimp per diffondere dei malware

Non è ancora chiaro se sia stata utilizzata una password rubata al cliente di MailChimp, o se il problema sia di MailChimp stesso.
24.11.16
Il logo di MailChimp. Immagine: Joel Gillman/Flickr

Probabilmente conoscerete Mailchimp come servizio di newsletter per email, oppure come quell'azienda che sembra avere uno spazio pubblicitario in ogni singolo podcast che abbiate mai ascoltato su internet. Recentemente, alcuni hacker hanno voluto sfruttare la popolarità di Mailchimp, riuscendo ad inviare delle mail contenenti link malevoli agli iscritti alle newsletter di diverse aziende che utilizzano Mailchimp.

L'incidente dimostra come gli hacker tendano a usare qualunque canale di distribuzione possibile pur di diffondere i loro malware e trasformarli in profitto.

"Ecco la sua ricevuta! La ringraziamo per il suo rapido pagamento," si leggeva in una mail inviata dal sito di Business News Australia, che affermava di essere affiliata al software di accounting Quickbooks.

Troy Hunt, security researcher australiano e proprietario del servizio di notificazione per brecce dati Have I Been Pwned?, ha mandato a Motherboard una copia della mail ricevuta da una sua fonte. La mail era stata apparentemente inviata dall'account di un amministratore del sito di news.

Il bottone "Guarda la ricevuta" porta a un file .zip che, secondo gli scan del sito di analisi malware Virus Total, è malevolo.

Le aziende e i siti internet spesso esternalizzano la distribuzione delle newsletter a altre aziende, per gestire meglio l'infrastruttura e gli imprevisti che saltano fuori quando devi inviare decine o centinaia di migliaia di email in contemporanea. In questo caso, si trattava di MailChimp, secondo un'altra email con mittente Business News Australia.

"Questa mattina il nostro database di iscritti MailChimp è stato hackerato ed è stata inviata alla nostra lista una ricevuta falsa (Inoice 00317) [sic]," si legge nella mail, secondo uno screenshot twittato da Hunt.

"Per favore ignoratela e cancellate questa mail. Non siete stati addebitati di alcun costo," aggiunge. Camilla Jansen, managing editor di Business News Australia, ha spiegato a Motherboard in una mail che "Attendiamo di scoprire nuovi dettagli a riguardo."

Ma sembra che altre aziende abbiano sofferto dello stesso problema. Un utente Twitter ha pubblicato quello che sembra essere uno screenshot di una mail praticamente identica inviata agli iscritti del Sit Down Comedy Club nella mailing list di Brisbane.

Motherboard ha inviato una mail al Sit Down Comedy Club, richiedendo un commento, ricevendo immediatamente la seguente risposta, probabilmente automatizzata.

"SE RICEVETE UNA MAIL DAL TITOLO - Inoice 00317 da Sit Down Comedy Clyb Pty Ltd - PER FAVORE CANCELLATE la mail che avete ricevuto, non usiamo Quickbooks. È SPAM, e non va aperto," si legge nella mail.

"Stiamo cercando di arrivare fino in fondo alla questione," aggiungono.

Un altro utente di Twitter ha caricato uno screenshot di quella che sembra essere una mail ricevuta dalla Jim's Building Inspections, un'altra società con sede in Australia. L'azienda ha attribuito il problema, ad un "noto cyber terrorista, " senza fornire alcuna prova a sostegno della dichiarazione.

MailChimp ha spiegato a Motherboard tramite un comunicato che "Questa mattina, i nostri esperti hanno identificato e disattivato un piccolo numero di singoli account che inviano fatture false. Abbiamo studiato la situazione senza trovare nessuna prova che MailChimp è stato violato. Gli account interessati sono stati disattivati e la loro attività fraudolenta è cessata. "

La società non ha spiegato nel dettaglio in cosa consisteva esattamente il problema, ma la dichiarazione di MailChimp raccomanda caldamente gli utenti a configurare l'autenticazione a due fattori, questo implica che il problema avrebbe potuto essere il riutilizzo della password.