Si sta diffondendo una campagna malware tramite email mirata a colpire utenze e aziende italiane, complice il periodo a elevata attività fiscale.
È stata rilevata da Yoroi e ripresa e rilanciata dal CERT PA.
Gli attacchi avvengono tramite l’invio di messaggi di posta fraudolenti con tematiche fiscali quali richieste, conferme e fatturazioni del mese di giugno.
Le email sono appositamente create al fine di indurre la vittima all’apertura di un documento Excel in grado di infettare il computer con Windows.
Yoroi consiglia di mantenere alto il livello di guardia nelle aziende, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete.
A seguito dell’apertura, il foglio di calcolo malevolo scarica e mette in esecuzione una variante malware della famiglia Zeus/Panda, configurata per l’esfiltrazione di informazioni, keylogging, furto di password, token e cookie di sessione relativi a sessioni utente presso istituti bancari o finanziari quali Cedacri, Credem, Fineco, Gruppo Carige, Intesa Sanpaolo, Mps, Poste, Quercia, Banca Passadore, Friuladria, Bper, Inbank.
email, le caratteristiche
Mittenti falsificati individuati
@infinito.it, @acli.it, @provincia.arezzo.it, @poliziadistato.it, @mediaset.it, @formez.it, @comune.padova.it, @agenziadogane.it, @istruzione.it, @mediaw.it, @marina.difesa.it, @comune.fi.it, @senato.it, @antonveneta.it, @sirti.it, @gruppopam.it, @entecra.it, @ausl.mo.it, @usl3.toscana.it, @unimi.it, @tiscali.it, @comune.sp.it, @comune.pv.it, @virgilio.it, @lycos.it, @pecveneto.it, @regione.lombardia.it
Oggetto
“Fatturazione e pagamento – giugno”
“fattura Giugno”
“fattura”
“Re: R: Richiesta”
“Conferma fattura”
“Invio fattura n° 000935 del 04/06/2018”
Allegato
“IBAN_F5721_<NOME_UTENTE>.xls”
La campagna di attacco individuata risulta riconducibile al gruppo cybercriminale che dal 2017 è specializzato in attacchi basati su email malevole preparate apposta per il panorama digitale italiano.
