Iscriviti

Finta cartella delle tasse mette in ginocchio l’Italia: colpite aziende e istituzioni

L'attacco informatico, propagatosi tramite un finto modulo F24, porta a scaricare un virus che ruba dati bancari e personali: l'origine geografica dell'aggressione sarebbe sita in Inghilterra, ma la conoscenza dell'anno fiscale italiano nasconde ben altro.

Internet e Social
Pubblicato il 24 gennaio 2018, alle ore 17:44

Mi piace
10
0
Finta cartella delle tasse mette in ginocchio l’Italia: colpite aziende e istituzioni

L’interconnessione della Rete ha spesso portato alla ribalta virus che, nel loro ciclo vitale, prima che venissero “terminati”, finivano per colpire centinaia di migliaia di sistemi in tutto il mondo, spesso sottraendo dati o, di tanto in tanto, “arruolandoli” in vere e proprie botnet al servizio di attacchi hacker ben peggiori. Quello che, però, è emerso a partire dallo scorso weekend, ed attualmente ancora in corso, è un attacco informatico alquanto singolare, in quanto mirato precisamente verso le aziende italiane.

La scoperta del singolare evento è avvenuta grazie alla security house italiana Yoroi che, per l’appunto all’inizio dello scorso fine settimana, ha notato come diversi suoi clienti avessero ricevuto una mail, attribuita al ministero delle Finanze ma spedita, in realtà, da mittenti quali info@fallriverproductions.com e info@amber-kate.com. Nella missiva, intitolata “F24 Acconti-Codice Tributo 4034” o “Codici Tributo Acconti”, un testo piuttosto stringato ma, caso raro, decisamente corretto, accennava alla necessità di scaricare un modulo per gli adempimenti fiscali, ovvero l’F24, cliccando su un particolare link. 

Quest’ultimo, anziché consentire il download di un allegato, collegava a dei server stranieri, ad esempio “239outdoors.com/themes5”, dai quali partiva il rilascio del file “1t.exe”: quest’ultimo, una volta installatosi in locale, faceva partire l’attacco vero e proprio del virus “TaxOlolo”, a quanto pare “imparentato” con un vecchio bankware russo, GootKit che, nel 2013, fece non pochi danni. 

Anche in questo caso, la portata dell’attacco non è stata secondaria, né per gravità, né per estensione. Nel primo ambito, infatti, si registra il probabile furto di dati bancari (gli accessi all’home banking), per quanto TaxOlolo, restando in ascolto verso il suo server remoto di comando e controllo, potrebbe anche aver inviato altri dati personali, e inserito i computer in una botnet. In tema di numeri, invece, nei labs di Yoroi ipotizzano che possano esser stati colpiti oltre 80 soggetti, tutti italiani, tra cui alcune istituzioni (Camera dei Deputati e Ministero dell’Interno), amministrazioni locali (i comuni di Bologna e Brescia, le regioni Toscana, Veneto, e Basilicata, la provincia di Reggio Emilia), diverse banche (Fineco, Monte Paschi di Siena), importanti asset italiani (Trenitalia, Autostrade per l’Italia), compagnie telefoniche (Vodafone, Telecom, Wind, Fastweb, H3G), aziende (Costacrociere), etc. 

Il tutto sarebbe partito da un server posto in Inghilterra, di proprietà della “Namecheap.com” che, però, è solita affittare i suoi servizi cloud facendosi pagare in Bitcoin (criptomoneta anonima), e celerebbe l’opera di qualcuno che conosca piuttosto bene l’anno fiscale italiano, visto il propagarsi delle mail citate a fine Gennaio, con le imminenti scadenze fiscali in calendario per Febbraio. 

Gli antivirus, adeguatamente testati lo scorso fine settimana, attraverso il servizio “VirusTotal”, tranne un’eccezione, NON riconoscevano il virus in oggetto ma, nelle ultime ore, sarebbero iniziati i primi aggiornamenti delle definizioni virali idonee a neutralizzarlo. Nel frattempo, quindi, qualora si dovesse ricevere una mail simile a quella illustrata poc’anzi, il consiglio degli esperti è di cancellarla seduta stante, senza addentrarsi nel click del link in esso contenuto. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - L'attacco in questione è passato un po' in sordina presso i media tradizionali, certamente presi da ben altre preoccupazioni. Eppure, a ben guardare, l'azione intrapresa da TaxOlolo, illustrata in sede di articolo, non è mica uno scherzo: ha preso di mira soggetti italiani anche grandi, mirando a carpire dati personali e bancari, con una logica da vero e proprio insider, ovvero di chi conosce bene la realtà fiscale italiana. L'attacco è partito da un server inglese, ma la mano che c'è dietro potrebbe essere italianissima...

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!