Massiccio attacco infromatico in Italia. Attenti alle email del Ministero delle Finanze

SULLO STESSO ARGOMENTO

L’allarme arriva da Yoroi, società di sicurezza italiana, che ha intercettato una serie di messaggi di posta elettronica contenenti un link infetto che sembrano provenire dal Ministero dell’Economia e delle Finanze.

L’email, in sé, non è un capolavoro di social engineering: nonostante il riferimento al Ministero e l’uso di un italiano corretto (un’eccezione rispetto a simili campagne avviate da pirati informatici stranieri) utilizza mittenti piuttosto sospetti come info@amber-kate.com e info@fallriverproductions.com, che dovrebbero mettere sul “chi va là” i destinatari.

A rendere particolarmente insidioso l’attacco, però, è il riferimento a un F24 (il modello per il pagamento delle imposte – ndr) e il fatto che la campagna di distribuzione coincida con un periodo di scadenze esattoriali che rendono la trappola più credibile. L’oggetto delle email varia, ma utilizza formule come “Codici Tributo Acconti F24” o “Acconti-Codice Tributo 4034”



    “Rispetto ad altri attacchi che prendono di mira interi settori, questo è specificatamente localizzato nel nostro paese” spiega Marco Ramilli, fondatore di Yoroi. “Stando a quanto abbiamo potuto ricostruire, ha colpito decine di società italiane, compresi alcuni enti pubblici come il Ministero degli Interni e la Camera dei Deputati”.

    Il messaggio di posta, come spiegato, contiene un link che punta a pagine Web pubblicate su vari domini Internet e che avvia il download di un JavaScript il cui codice è pesantemente offuscato. La sua funzione è quella di scaricare ed eseguire un file chiamato 1t.exe.

    Ministero Finanze
    Il messaggio è piuttosto scarno e non contiene loghi o altri elementi grafici. Ma il fatto che arrivi in un periodo in cui ci sono delle scadenze fiscali lo rende molto più credibile di email simili che si sono viste in passato.

    Si tratta di un malware che, secondo Ramilli, ha una certa somiglianza con GootKit. “Non abbiamo ancora analizzato a fondo il sample, ma sembra trattarsi di un classico trojan bancario, progettato per rubare le credenziali di accesso ai servizi di home banking”.

    Secondo il ricercatore, però, il trojan in questione va un po’ oltre. “Dalle nostre analisi risulta che il malware rimanga in ascolto per ulteriori comandi dal server Command and Control” spiega Ramilli. Tradotto: a essere a rischio non sono solo le credenziali dei servizi bancari online, ma è possibile che il malware vada a rubare anche altre informazioni e crei una vera botnet sotto il controllo dei pirati informatici.

    Yoroi ha intercettato i primi messaggi venerdì e ha completato l’analisi nel giro di 24 ore, inviando un alert a tutte le autorità competenti per contenere gli attacchi. Stando alle analisi, però, il malware avrebbe già fatto un discreto numero di vittime, di cui Ramilli ha pubblicato un elenco piuttosto impressionante.

    Tra le aziende risultano anche Trenitalia; la società Autostrade; Banca Monte Dei Paschi Di Siena S.P.A.; Costacrociere; FINECO; Videotime; Telecom; Wind e FASTWEB. Tra gli enti pubblici il Ministero dell’Interno; la Camera dei Deputati; alcuni Comuni (Brescia, Bologna) e regioni (Basilicata, Toscana e Veneto).

    Ma come ha fatto Yoroi a individuare le vittime? “Siamo riusciti a rintracciare i log di collegamento ai domini usati per diffondere il malware e, da qui, siamo risaliti alle possibili vittime attraverso gli indirizzi IP” spiega Ramilli.

    L’uso del termine “possibili”, come ci ha spiegato nel corso dell’intervista il ricercatore, è una formula dettata più che altro dalla cautela. “Nei miei test ho verificato che i normali tentativi di collegamento ai siti usati per diffondere il malware non vanno a buon fine, mentre quelli fatti attraverso il dropper funzionano. Molto probabilmente sono filtrati in base all’agent che tenta il collegamento”.

    Insomma: se nel log risulta che un collegamento ha avuto successo, è ragionevole presumere che sia avvenuto in seguito all’azione del JavaScript attivato dal link malevolo all’interno della mail.

    Ramilli però invita a una certa cautela anche per quanto riguarda l’inclusione nell’elenco di alcune aziende che operano come Internet Provider, come Telecom e FASTWEB. “In questo caso è molto probabile che l’indirizzo IP si riferisca alla loro infrastruttura, ma a essere stati colpiti siano normali clienti che usano i loro servizi per la connettività”. Per essere chiari: l’ipotesi che dalle parti di Telecom abbiano migliaia di computer infetti è decisamente improbabile.

    Il problema, però, è che nei giorni in cui è partito l’attacco (lo scorso week-end) il malware passava indenne il controllo della maggior parte degli antivirus. “Da una verifica su Virus Total, solo un antivirus considerava il file sospetto” conferma Ramilli.

    Ora che Yoroi ha fornito le informazioni reperite nel corso di questi tre giorni, tutti i software di sicurezza stanno aggiornando le definizioni e il livello di protezione aumenterà sensibilmente.

    Nel frattempo, però, se doveste ricevere un’email come quella descritta, la soluzione migliore è di cancellarla senza pensarci troppo.

    fonte securityinfo.it




    LEGGI ANCHE

    Frignano, chiuso per 20 giorni il bar frequentato da pregiudicati

    I Carabinieri della Stazione di Frignano hanno emesso un provvedimento ex art. 100 tulps nei confronti di un 32enne residente nel luogo, che prevede la chiusura temporanea del suo esercizio commerciale, un bar, per un periodo di 20 giorni. Questo intervento è stato motivato dai frequenti controlli effettuati all'interno del locale, che hanno evidenziato la presenza di individui con precedenti penali e, in alcuni casi, in possesso di sostanze stupefacenti. In passato, l'esercizio commerciale in questione...

    L’avvocato Lubrano: “Caso Acerbi? Violati due articoli, Juan Jesus può fare appello”

    Durante la trasmissione "Si Gonfia la Rete" condotta da Raffaele Auriemma su Radio Crc, è intervenuto l'avvocato Enrico Lubrano, esperto di diritto sportivo e precedentemente consulente legale per la SSC Napoli: "Per quanto riguarda il caso Acerbi-Juan Jesus, non posso formulare un'analisi critica della decisione del giudice poiché non dispongo dei documenti necessari. La decisione si basa sul materiale probatorio fornito, del quale non sono a conoscenza, quindi non posso esprimere un giudizio critico...

    Napoli, svelati due omicidi di camorra: scattano gli arresti

    Napoli: svelati due omicidi di camorra. Dalle prime luci del giorno i Carabinieri del Comando Provinciale di Napoli stanno dando esecuzione a due misure cautelari emesse dal Gip del Tribunale partenopeo su richiesta della locale Direzione distrettuale antimafia, relative a due omicidi aggravati dal metodo mafioso. Si tratta di due omicidi avvenuti negli ani scorsi e su cui si è fatta luce grazie alle informazioni fornite da alcuni pentiti.

    Camorra, omicidi dell’innocente Giulio Giaccio e di Pasquale Manna: 6 arresti

    Altri arresti per gli omicidi di Giulio Giaccio e Pasquale Manna. Stamattina, i Carabinieri di Napoli hanno eseguito due distinte ordinanze di custodia cautelare in carcere nei confronti di sei persone emesse dal Gip del Tribunale partenopeo su richiesta della Direzione distrettuale antimafia. Sono stati arrestati tre esponenti del clan Polverino di Marano di Napoli per l'omicidio di Giulio Giaccio, un operaio di 26 anni, ucciso per errore nel luglio del 2000.Fu scambiato per un...

    IN PRIMO PIANO

    LE VIDEO STORIE