Da qualche giorno si moltiplicano gli appelli a fare attenzione a email che potrebbero giungere nella vostra casella di posta elettronica con mittente “Agenzia Entrate”. Secondo i ricercatori di Yoroi si tratta di messaggi fraudolenti che contengono un file Excel al cui interno si cela un malware trojan riconducibile alla famiglia ZeuS/Panda (botnet 2.5.6).
Non è la prima volta che l’Agenzia delle Entrate viene presa di mira da cyber criminali per usarla come “esca” e ingannare gli utenti che si vedono recapitare nella propria casella di posta elettronica un messaggio di “avviso di pagamento“. Un classico esempio di “phishing“, truffa informatica che riprende in maniera generale le sembianze di un messaggio proveniente da una data azienda per confondere l’utente e farlo cadere nella trappola. Un fenomeno questo che nel corso degli anni si è sempre più intensificato riuscendo a riprodurre messaggi che spesso e volentieri riescono a far cadere nella trappola gli utenti. Pensate che, sulla base di dati recenti, il fenomeno è previsto in crescita del 10,8% entro il 2022, con un valore di mercato di 840 milioni di dollari di quest’anno fino a 1,4 miliardi di dollari del 2022.
Nel caso specifico, dopo il recente comunicato da parte della stessa Agenzia delle Entrate che dichiara di non aver inviato messaggi con “avvisi di pagamento”, arriva l’allarme anche da parte di Yoroi, azienda italiana specializzata in cybersecurity, che mette in guardia sulla pericolosa campagna di attacco in atto.
I messaggi intercettati dai ricercatori di Yoroi simulano ipotetiche comunicazioni relative ad avvisi di pagamento provenienti da “Agenzia Entrate” a cui è allegato un documento Excel in grado di infettare il PC vittima. I ricercatori hanno analizzato i campioni intercettati e hanno rilevato che la minaccia si riconduce alla famiglia ZeuS/Panda (botnet 2.5.6): analogamente a quanto accaduto recentemente nel caso della minaccia che fingeva di provenire da “Enel Energia”, la variante del trojan individuata ha la capacità di intercettare dati utente all’interno dei browser web in uso (Man-in-the-Browser), trafugare schermate e digitazioni durante le sessioni di lavoro, instaurare canali di comunicazione backdoor e permettere agli attaccanti accesso alla rete locale.
L’e-mail si presenta con le seguenti caratteristiche:
- Oggetto:
“LET_FORMAT_ERROR“
“avviso di pagamento” - Mittenti:
Molteplici account di posta potenzialmente compromessi da domini @inwind.it , @tiscali.it , @hotmail.it , @aliceposta.it, @tim.it , @outlook.it , @libero.it, @legalmail.it , @fastwebnet.it - Allegati:
“<4CIFRE>-F24.xls” (ad esempio “5368-F24.xls”)
La società consiglia a tutti, comprese le aziende che potrebbero ricevere questi messaggi, di monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Insomma, c’è da fare, come sempre del resto, molta attenzione.
1dramatist