Gestionale
Stampanti
Hardware PC e server
Sicurezza
Hosting e mail
Website e social
Casse RT📂 OS1 FILESTORE Un sistema semplice e comodo per archiviare, organizzare, ricercare e inviare documenti in OS1, […]
Una campagna massiva di invio di messaggi di posta elettronica contenenti link dannosi che sembrano provenire dal Ministero dell'Economia e delle Finanze sta attaccando aziende italiane ed enti pubblici.
La mail sembra provenire dal Ministero dell'Economia e delle Finanze e ha, tendenzialmente, due oggetti:
- Codici Tributo Acconti
- F24 Acconti-Codice Tributo 4034
Gli attaccanti molto probabilmente sono italiani: la cosa è deducibile non solo dal fatto che l'email è scritta in un italiano abbastanza corretto (al contrario di altri email tradotte con software di traduzione automatica), ma anche dal fatto che reca contenuti e scadenze che fanno capire che gli attaccanti conoscono piuttosto bene l'anno fiscale italiano. Il riferimento all' F24 (modello di pagamento delle imposte) e la contemporaneità della campagna con una serie di scadenze esattoriali lo rendono un attacco molto pericoloso.
Ovviamente la mail non proviene da nessun account ufficiale del Ministero dell'Economia e delle Finanze, ma dai seguenti indirizzi:
info@amber-kate.com
info@fallriverproductions.com
La mail appare così...
L'email contiene un link e invita l'utente, con un messaggio da fonte autorevole, a fare clic. Il link punta su una serie di domini che avviano il downoload di un Javascript dal codice pesantemente offuscato. Il file js. serve a scaricare ed eseguire un secondo file chiamato 1t.exe.
1t.exe pare essere un classico malware bancario, pensato per rubare le credenziali di accesso ai servizi di home banking. In questo caso però il malware ha anche altre funzioni, dato che l'analisi dello stesso ha mostrato che il malware è sempre in ascolto di ulteriori comandi dal proprio server.
Probabilmente è in grado di attivare anche altre funzioni volte al furto di altri tipi di informazioni e alla trasformazione della macchina infetta nel nodo di una botnet.
I ricercatori sono riusciti a rintracciare i log di collegamento ai domini usati per la diffusione del malware e da lì sono potuti risalite, tramite gli indirizzi IP, alle possibili vittime. Una menzione a parte meritano Internet Provider come Telecom e FASTWEB: in questo caso infatti è assai improbabile che le migliaia di loro macchine siano infette, mentre è più probabile pensare che l'indirizzo IP riferisca solo alla loro infrastruttura, ma che le vittime reali siano clienti che usano i loro servizi.
Qualche vittima eccellente:
Banca Monte Dei Paschi Di Siena S.P.A.
Camera dei deputati
Comune Di Brescia e di Bologna
FASTWEB SPA
FINECO Banca del Gruppo Unicredit
H3G Italy
Linkem spa
Regione Basilicata, Toscana, Veneto
Provincia di Reggio nell'Emilia
Telecom Italia
Tiscali SpA
Trenitalia SpA
Universita' degli Studi di Milano e di Palerm
Wind Telecomunicazioni
Vodafone Group Services GmbH
Nei primi giorni di diffusione il malware passava assolutamente indenne al controllo della quasi totalità degli antivirus. La maggior parte però degli AV è già corsa ai ripari aggiornando il database delle firme.
📂 OS1 FILESTORE Un sistema semplice e comodo per archiviare, organizzare, ricercare e inviare documenti in OS1, […]
Cos'è il servizio di cloud backup? Con Cloud Backup si intende il salvataggio dei dati aziendali su […]
Nel mondo della produzione industriale, la gestione efficiente di processi, risorse e materiali è essenziale per garantire […]