/ Sicurezza / Massiccia campagna di spam

Massiccia campagna di spam

image_pdfimage_print

Massiccia campagna di spam

italia-spam

L’Italia è sotto attacco

Una campagna massiva di invio di messaggi di posta elettronica contenenti link dannosi che sembrano provenire dal Ministero dell’Economia e delle Finanze sta attaccando aziende italiane ed enti pubblici.

La mail sembra provenire dal Ministero dell’Economia e delle Finanze e ha, tendenzialmente, due oggetti:

– Codici Tributo Acconti
– F24 Acconti-Codice Tributo 4034

Gli attaccanti molto probabilmente sono italiani: la cosa è deducibile non solo dal fatto che l’email è scritta in un italiano abbastanza corretto (al contrario di altri email tradotte con software di traduzione automatica), ma anche dal fatto che reca contenuti e scadenze che fanno capire che gli attaccanti conoscono piuttosto bene l’anno fiscale italiano. Il riferimento all’ F24 (modello di pagamento delle imposte) e la contemporaneità della campagna con una serie di scadenze esattoriali lo rendono un attacco molto pericoloso.

Ovviamente la mail non proviene da nessun account ufficiale del Ministero dell’Economia e delle Finanze, ma dai seguenti indirizzi:
info@amber-kate.com
info@fallriverproductions.com

La mail appare così…

Ministero Email Fasulla

Il link dannoso

L’email contiene un link e invita l’utente, con un messaggio da fonte autorevole, a fare clic. Il link punta su una serie di domini che avviano il downoload di un Javascript dal codice pesantemente offuscato. Il file js. serve a scaricare ed eseguire un secondo file chiamato 1t.exe.

Il malware diffuso

1t.exe pare essere un classico malware bancario, pensato per rubare le credenziali di accesso ai servizi di home banking. In questo caso però il malware ha anche altre funzioni, dato che l’analisi dello stesso ha mostrato che il malware è sempre in ascolto di ulteriori comandi dal proprio server.

Probabilmente è in grado di attivare anche altre funzioni volte al furto di altri tipi di informazioni e alla trasformazione della macchina infetta nel nodo di una botnet.

Le vittime

I ricercatori sono riusciti a rintracciare i log di collegamento ai domini usati per la diffusione del malware e da lì sono potuti risalite, tramite gli indirizzi IP, alle possibili vittime. Una menzione a parte meritano Internet Provider come Telecom e FASTWEB: in questo caso infatti è assai improbabile che le migliaia di loro macchine siano infette, mentre è più probabile pensare che l’indirizzo IP riferisca solo alla loro infrastruttura, ma che le vittime reali siano clienti che usano i loro servizi.

Qualche vittima eccellente:

Banca Monte Dei Paschi Di Siena S.P.A.
Camera dei deputati
Comune Di Brescia e di Bologna
FASTWEB SPA
FINECO Banca del Gruppo Unicredit
H3G Italy
Linkem spa
Regione Basilicata, Toscana, Veneto
Provincia di Reggio nell’Emilia
Telecom Italia
Tiscali SpA
Trenitalia SpA
Universita’ degli Studi di Milano e di Palerm
Wind Telecomunicazioni
Vodafone Group Services GmbH

Il rilevamento dal parte degli antivirus

Nei primi giorni di diffusione il malware passava assolutamente indenne al controllo della quasi totalità degli antivirus.  La maggior parte però degli AV è già corsa ai ripari aggiornando il database delle firme.

L’unica soluzione di sicurezza al 100% è riconoscere l’email e non fare clic sul link allegato.

Top