Yoroi avvisa: minacce in allegato alle email che si fingono fatture

redazione

Rilevata da Yoroi e ripresa e rilanciata dal CERT PA, si sta diffondendo una pericolosa campagna mirata a colpire utenze ed organizzazioni italiane sfruttando l’intensa attività tributaria e fiscale del periodo.

La campagna di attacco individuata risulta riconducibile al gruppo cybercriminale che dal 2017 è specializzato in attacchi basati su email malevole preparate per il panorama italiano.

Gli attacchi avvengono tramite l’invio di messaggi di posta fraudolenti con tematiche fiscali quali richieste, conferme e fatturazioni del mese di giugno. Le email sono appositamente create al fine di indurre la vittima all’apertura di un documento Excel in grado di infettare silenziosamente la macchina bersaglio.

A seguito dell’apertura, il foglio di calcolo malevolo scarica e mette in esecuzione una variante malware della famiglia Zeus/Panda, configurata per l’esfiltrazione di informazioni, keylogging, furto di password, token e cookie di sessione relativi a sessioni utente presso istituti bancari o finanziari quali CEDACRI, CREDEM, FINECO, GRUPPO CARIGE, INTESA SANPAOLO, MPS, POSTE, QUERCIA, BANCA PASSADORE, FRIULADRIA, BPER, INBANK.

Esempio di foglio elettronico malevolo recapitato alle vittime

L’e-mail si presenta con le seguenti caratteristiche:
mittenti falsificati attualmente individuati:
@infinito.it, @acli.it, @provincia.arezzo.it, @poliziadistato.it, @mediaset.it, @formez.it, @comune.padova.it, @agenziadogane.it, @istruzione.it, @mediaw.it, @marina.difesa.it, @comune.fi.it, @senato.it, @antonveneta.it, @sirti.it, @gruppopam.it, @entecra.it, @ausl.mo.it, @usl3.toscana.it, @unimi.it, @tiscali.it, @comune.sp.it, @comune.pv.it, @virgilio.it, @lycos.it, @pecveneto.it, @regione.lombardia.it

Oggetto:
“Fatturazione e pagamento – giugno”
“fattura Giugno”
“fattura”
“Re: R: Richiesta”
“Conferma fattura”
“Invio fattura n° 000935 del 04/06/2018”

Allegato:
“IBAN_F5721_<NOME_UTENTE>.xls”

Yoroi consiglia di mantenere alto il livello di guardia all’interno delle aziende, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere elevato il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.