6 Febbraio 2018

Massiccia campagna di spam

Massiccia campagna di spam

italia-spam

L'Italia è sotto attacco

Una campagna massiva di invio di messaggi di posta elettronica contenenti link dannosi che sembrano provenire dal Ministero dell'Economia e delle Finanze sta attaccando aziende italiane ed enti pubblici.

La mail sembra provenire dal Ministero dell'Economia e delle Finanze e ha, tendenzialmente, due oggetti:

- Codici Tributo Acconti
- F24 Acconti-Codice Tributo 4034

Gli attaccanti molto probabilmente sono italiani: la cosa è deducibile non solo dal fatto che l'email è scritta in un italiano abbastanza corretto (al contrario di altri email tradotte con software di traduzione automatica), ma anche dal fatto che reca contenuti e scadenze che fanno capire che gli attaccanti conoscono piuttosto bene l'anno fiscale italiano. Il riferimento all' F24 (modello di pagamento delle imposte) e la contemporaneità della campagna con una serie di scadenze esattoriali lo rendono un attacco molto pericoloso.

Ovviamente la mail non proviene da nessun account ufficiale del Ministero dell'Economia e delle Finanze, ma dai seguenti indirizzi:
info@amber-kate.com
info@fallriverproductions.com

La mail appare così...

Ministero Email Fasulla

Il link dannoso

L'email contiene un link e invita l'utente, con un messaggio da fonte autorevole, a fare clic. Il link punta su una serie di domini che avviano il downoload di un Javascript dal codice pesantemente offuscato. Il file js. serve a scaricare ed eseguire un secondo file chiamato 1t.exe.

Il malware diffuso

1t.exe pare essere un classico malware bancario, pensato per rubare le credenziali di accesso ai servizi di home banking. In questo caso però il malware ha anche altre funzioni, dato che l'analisi dello stesso ha mostrato che il malware è sempre in ascolto di ulteriori comandi dal proprio server.

Probabilmente è in grado di attivare anche altre funzioni volte al furto di altri tipi di informazioni e alla trasformazione della macchina infetta nel nodo di una botnet.

Le vittime

I ricercatori sono riusciti a rintracciare i log di collegamento ai domini usati per la diffusione del malware e da lì sono potuti risalite, tramite gli indirizzi IP, alle possibili vittime. Una menzione a parte meritano Internet Provider come Telecom e FASTWEB: in questo caso infatti è assai improbabile che le migliaia di loro macchine siano infette, mentre è più probabile pensare che l'indirizzo IP riferisca solo alla loro infrastruttura, ma che le vittime reali siano clienti che usano i loro servizi.

Qualche vittima eccellente:

Banca Monte Dei Paschi Di Siena S.P.A.
Camera dei deputati
Comune Di Brescia e di Bologna
FASTWEB SPA
FINECO Banca del Gruppo Unicredit
H3G Italy
Linkem spa
Regione Basilicata, Toscana, Veneto
Provincia di Reggio nell'Emilia
Telecom Italia
Tiscali SpA
Trenitalia SpA
Universita' degli Studi di Milano e di Palerm
Wind Telecomunicazioni
Vodafone Group Services GmbH

Il rilevamento dal parte degli antivirus

Nei primi giorni di diffusione il malware passava assolutamente indenne al controllo della quasi totalità degli antivirus.  La maggior parte però degli AV è già corsa ai ripari aggiornando il database delle firme.

L'unica soluzione di sicurezza al 100% è riconoscere l'email e non fare clic sul link allegato.

Le ultime dal blog

Registratori telematici RT - Nuovi servizi tracciato XML7 e lotteria scontrini

REGISTRATORI TELEMATICI RT NUOVI SERVIZI TRACCIATO XML7 E LOTTERIA SCONTRINI Entro il 31/12/2020 l'agenzia delle entrate ha […]

L'importanza di un software aggiornato

L'importanza di un software aggiornato, al pari dell'aggiornamento del sistema operativo Al pari dell'aggiornamento telefono, anche quello […]

Nuovi tracciati fatture elettroniche file XML dal 01/01/2021

Nuovi tracciati  per le fatture elettroniche XML  [aggiornamento in vigore da gennaio 2021] L’Agenzia delle Entrate a […]

Contattaci per ricevere informazioni


Copyright 2020 - Caronni srl • P.I: 00881350961 • C.F: 07983290151 • REA: MB 1195603 • PEC: caronni@pec.caronni.it • Privacy e cookie policy
menuchevron-downcross-circle

I cookie ci consentono di fornirti al meglio i nostri servizi in questo sito. Continuando la navigazione, acconsenti al loro utilizzo.

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram