Attenzione alle false e-mail del Ministero delle Finanze
Da qualche giorno arrivano agli ignari destinatari una serie di messaggi di e-mail contenenti un link infetto che sembrano provenire dal Ministero dell’Economia e delle Finanze.
Il messaggio è scritto in perfetto italiano e sembra una cartella esattoriale, che arriva proprio in un periodo di scadenze. Ma scarica un trojan.
L’email, in sé, non è un capolavoro di social engineering: nonostante il riferimento al Ministero e l’uso di un italiano corretto (un’eccezione rispetto a simili campagne avviate da pirati informatici stranieri) utilizza mittenti piuttosto sospetti come info@amber-kate.com e info@fallriverproductions.com, che dovrebbero comunque insospettire i destinatari.
A rendere particolarmente insidioso l’attacco, però, è il riferimento a documenti perfettamente plausibili, come F24, fatture e il fatto che la campagna di invio vada a coincidere con un periodo di scadenze esattoriali che rendono la trappola più credibile.
L’oggetto delle email può variare, ma utilizza formule come Codici Tributo Acconti F24 o Acconti-Codice Tributo 4034 oppure altre formule, più o meno fantasiose, ma con un fondamento verosimile.
Rispetto ad altri attacchi che prendono di mira interi settori, questo è specificatamente localizzato nel nostro paese e ha colpito decine di società italiane, compresi alcuni enti pubblici come il Ministero degli Interni e la Camera dei Deputati.
Ma cosa si rischia esattamente?
Il messaggio di posta contiene un link che punta a pagine web pubblicate su vari domini Internet, una volta cliccato, avvia il download di un file JavaScript il cui codice è pesantemente offuscato. La sua funzione è quella di scaricare ed eseguire un file chiamato 1t.exe.
Si tratta di un malware che ha analogie con GootKit e che sembra progettato per rubare le credenziali di accesso ai servizi di home banking.
Inoltre, sembra che il malware rimanga in ascolto per ulteriori comandi da un server Command and Control, ovvero che non solo si rischia di aver sottratte le credenziali dei servizi bancari online, ma è possibile che il malware vada a rubare anche altre informazioni e renda il computer infetto uno zombie di una vera botnet sotto il controllo dei pirati informatici.
Purtroppo, nei giorni in cui è partito l’attacco, a partire dallo scorso fine settimana, il malware passava indenne il controllo della maggior parte degli antivirus. Adesso, la quasi totalità dei software di sicurezza stanno aggiornando le definizioni e il livello di protezione aumenterà sensibilmente.
Nel frattempo, però, se doveste ricevere un’email come quella descritta, la soluzione migliore è di cancellarla senza pensarci troppo.
