Rilevata da
Yoroi e ripresa e rilanciata dal
CERT PA, si sta diffondendo una pericolosa campagna
mirata a colpire utenze ed organizzazioni italiane sfruttando l’intensa attività tributaria e fiscale del periodo.
Gli attacchi avvengono tramite
l’invio di messaggi di posta fraudolenti con tematiche fiscali quali richieste, conferme e fatturazioni del mese di giugno. Le email sono appositamente create al fine di indurre la vittima all’apertura di un documento Excel in grado di infettare silenziosamente la macchina bersaglio.
A seguito dell’apertura, il foglio di calcolo malevolo scarica e mette in esecuzione una variante malware della famiglia
Zeus/Panda, configurata per l’esfiltrazione di informazioni, keylogging, furto di password, token e cookie di sessione relativi a sessioni utente presso istituti bancari o finanziari quali CEDACRI, CREDEM, FINECO, GRUPPO CARIGE, INTESA SANPAOLO, MPS, POSTE, QUERCIA, BANCA PASSADORE, FRIULADRIA, BPER, INBANK.
L’e-mail si presenta con le seguenti caratteristiche:
mittenti falsificati attualmente individuati:
@infinito.it, @acli.it, @provincia.arezzo.it, @poliziadistato.it, @mediaset.it, @formez.it, @comune.padova.it, @agenziadogane.it, @istruzione.it, @mediaw.it, @marina.difesa.it, @comune.fi.it, @senato.it, @antonveneta.it, @sirti.it, @gruppopam.it, @entecra.it, @ausl.mo.it, @usl3.toscana.it, @unimi.it, @tiscali.it, @comune.sp.it, @comune.pv.it, @virgilio.it, @lycos.it, @pecveneto.it, @regione.lombardia.it
Oggetto:
“Fatturazione e pagamento - giugno”
“fattura Giugno”
“fattura”
“Re: R: Richiesta”
“Conferma fattura”
“Invio fattura n° 000935 del 04/06/2018”
Allegato:
"IBAN_F5721_<NOME_UTENTE>.xls”
Yoroi consiglia di mantenere alto il livello di guardia all’interno delle aziende, monitorare potenziali rischi di sicurezza,
mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete.