Massiccio attacco trojan in corso in Italia: occhio alle mail!

di
La società specializzata in sicurezza informatica, Yorol, attraverso un post pubblicato sul proprio blog ufficiale ha messo in guardia gli utenti dalle possibili email ricevute da parte del Ministero delle Finanze, che sarebbe stato oggetto di un massiccio attacco trojan.

Le email sono scritte in perfetto italiano: contengono un riferimento al Ministero di via XX Settembre, ma contiene mittenti sospetti come info@amber-kate.com e info@fallriverproductions.com, che sicuramente metteranno in guardia i più esperti.

L'attacco contiene anche un riferimento all'F24, il modulo per il pagamento delle imposte, che viene inviato proprio in un periodo in cui stanno per scadere le presentazioni, il che rende l'attacco estremamente credibile. L'oggetto delle email varia da "Codici Tributo Acconti F24" a "Acconti-Codice Tributo 4034".

A parte ciò, il metodo per attaccare gli utenti è sempre lo stesso: le email contengono un link che reindirizza l'utente al download di un JavaScript, che ha l'obiettivo di avviare un file di nome 1t.exe.

Il fondatore di Yorol, Marco Ramilli, sostiene che il file in questione sia un malware che rientra nella tipologia dei trojan bancari, che hanno il solo obiettivo di rubare le credenziali d'accesso ai servizi di home banking. Tuttavia, come affermato dallo stesso, il virus potrebbe anche rubare altre informazioni per creare una sorta di botnet controllata dai malviventi informatici.

Nella lista delle vittime figurano, oltre a molti utenti, aziende del calibro di Autostrade per l'Italia, Trenitalia, Monte dei Paschi, Costacrociere, Fineco, Videotime, Telecom, Wind, Fastweb ed agenzie governative come il Ministero dell'Interno, la Camera dei Deputati, i comuni di Brescia, Bologna, le regioni Basilicata, Toscana e Veneto, ma la lista completa è in continuo aggiornamento e disponibile attraverso questo indirizzo.

Parlando con Repubblica, Ramilli sostiene che "nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro uffici veri e propri", ma è "incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo".

Quanto è interessante?
10