Esiste un solo mittente in grado di far tremare allo stesso modo imprenditori, professionisti e privati: l’Agenzia delle Entrate.
Come quando viaggiamo in macchina e scorgiamo la macchina dei Vigili Urbani c’è sempre una piccola preoccupazione che serpeggia sotto la nostra calma apparente, anche se siamo cintura-muniti ed entro i limiti di velocità, così ricevere un’e-mail dall’Agenzia delle Entrate fa scendere una gocciolina di sudore a chiunque, innocente o meno.
In questi casi si ha viva l’urgenza di aprirla, senza indugi.

Proprio su questa tendenza fa leva la minaccia hacker che sta colpendo il Web in questi ultimi giorni: si tratta di una campagna malspam rivolta ai titolari di indirizzi PEC (posta certificata).

Malspam… mai sentito questo termine? È un neologismo derivante dalla fusione dei termini maliciuos e spam che viene usato per indicare gli attacchi basati sull’invio in massa di e-mail contenenti allegati infetti o link a siti in cui sono presenti exploit kit (virus che sfruttano le vulnerabilità strutturali di un programma).

La nostra penisola non è nuova a questo tipo di minacce: risale allo scorso luglio l’attacco ransomware che ha causato non pochi problemi agli utenti meno esperti. Vediamo più nel dettaglio in cosa consiste l’attuale campagna di diffusione malware.

Nuova campagna di diffusione malware: un malspam colpisce le caselle PEC di professionisti e privati, facendo erroneamente credere di provenire dall’Agenzia delle Entrate.

Nuova campagna di diffusione malware: qualche dettaglio

La minaccia in questione è una variante di sLoad, rilasciato nel Regno Unito lo scorso anno. Il malware era in grado di eseguire comandi arbitrari sul sistema e di monitorare costantemente l’attività svolta sul pc “ospite”, catturando degli screen che poi provvedeva a inviare agli hacker.

In questo caso specifico viene recapitata una e-mail che presenta le seguenti caratteristiche:

Oggetto

Comunicazione ********** [ENTRATE|AGEDC***|REGISTRO COMUNICAZIONI *******] [*********|*********]

Testo

Si viene informati che è presente una comunicazione a noi rivolta e che è possibile leggerla scaricando l’allegato all’e-mail in questione. Il testo esatto del messaggio, riportato qui sotto, è molto simile (quasi identico) a quello di una mail standard dell’Agenzia delle Entrate. La differenza sostanziale è che nel caso dell’originale l’allegato è unico e si tratta di un file firmato digitalmente (.p7m); nel caso in esame invece l’allegato principale è una cartella zippata.

Testo dell’e-mail fraudolenta

Testo dell’e-mail che la campagna di diffusione malware riproduce

Allegati

L’allegato all’e-mail si presenta come una cartella zippata contenente due file che hanno lo stesso nome, solitamente una sigla alfanumerica (come riporta l’immagine sottostante).

Estensione dei file contenenti il virus.

La nomenclatura varia di caso in caso. I due file hanno rispettivamente estensione .pdf e .vbs (Visual Basic Script, un linguaggio informatico visualizzabile come testo).
Il pdf è corrotto e induce l’utente a tentare di aprire il secondo file. Qui si nasconde la vera e propria minaccia: il .vbs eseguito, determina il download di un file .jpeg che si trova su un server remoto.
Una volta scaricato, il .jpeg viene salvato in C:\Users\Public\Downlads\*.ps1 ed eseguito automaticamente provocando l’infezione.

In queste ore CERT-PA sta effettuando dei controlli per stabilire se siano presenti funzionalità diverse o aggiuntive rispetto a quelle di sLoad.
L’Agenzia per l’Italia digitale ha già preso provvedimenti nei confronti delle caselle PEC da cui sembra propagarsi questa campagna di diffusione malware.

A quanto pare esiste anche un altro fronte di combattimento: un ricercatore ha da poco resa nota attraverso un post su Twitter la presenza di un ulteriore minaccia perpetrata via PEC.

L’e-mail contenente la minaccia viene inviata via PEC e presenta un oggetto e un testo molto simili alle comunicazioni standard dell’Agenzia delle Entrate. Al suo interno è presente un allegato zippato costituito da un file .pdf corrotto e uno .vbs malevolo.

Come difendersi dalle campagne di diffusione malware?

Quando la minaccia si nasconde dietro un’e-mail, l’arma più efficace che si possa sfoderare è il buon senso.

Non esistono infatti mezzi che possano allertarci sulla natura malevola della corrispondenza. L’unica azione che possa avvicinarsi a un “sistema di allarme” è avviare un’analisi dell’antivirus.
Anche in questo caso però è necessario un atto consapevole da parte dell’utente che deve far verificare i file allegati.

Ci sono alcune misure di sicurezza che possono aiutare a prevenire:

• Controllo del mittente: è qualcuno che non conosciamo? Se la risposta è sì, è un brutto segno. Se facendo un controllo incrociato di oggetto e autore del messaggio si sente puzza di bruciato, meglio cestinare o chiedere al proprio Reparto IT oppure al proprio Consulente IT di verificare la mail;
• Opportunità dell’e-mail: è un messaggio che ha senso sia stato recapitato a noi? Oppure è qualcosa di completamente sconnesso dalla nostra realtà lavorativa e personale? La domanda da porsi è: “Stavo davvero aspettando questa e-mail?”;
• Correttezza ortografica: come riscontrabile dalle immagini allegate, che comparano l’e-mail originale dell’Agenzia delle Entrate a quella fasulla, esistono delle differenze.
  È facile notare che nella versione malevola sono presenti errori di ortografia, come la mancanza di accenti.Anche questo è un campanello di allarme quando si ricevono messaggi di questo tipo: è difficile, direi quasi impossibile (e sicuramente non auspicabile), che il testo di una comunicazione ufficiale presenti errori grammaticali.
  Questa è una caratteristica comune a molti attacchi: è l’inesperienza e “l’ingenuità informatica” degli utenti meno esperti a non far notare loro queste avvisaglie. Una distrazione letale, che spesso porta anche a fornire dati personali a servizi fraudolenti che si spacciano per grosse aziende come Amazon, Paypal ecc.
• Occhio alla grafica: prestate sempre attenzione all’impostazione dell’e-mail e alla formattazione. Le “brutte copie” dei messaggi ufficiali spesso presentano intestazioni e piè di pagina difformi da quelli originali: spesso i footer sono privi delle informazioni di protezione o del tutto assenti;

Le uniche vere difese contro queste minacce sono lo spirito di osservazione e il buon senso. Controllare sempre mittente, estensione degli allegati, correttezza grammaticale e grafica delle e-mail che riceviamo!

Conclusioni

Negli ultimi giorni una nuova campagna di diffusione malware sta avendo luogo attraverso le caselle PEC di professionisti e privati.
Si tratta di un’e-mail apparentemente proveniente dall’Agenzia delle Entrate che contiene un allegato zippato, all’interno del quale sono presenti un file .pdf corrotto e uno .vbs malevolo.

Aprendo gli allegati viene scaricato automaticamente un .jpeg che si trova su un server remoto. Eseguendolo si dà libero accesso nel proprio pc a una minaccia che ricalca il virus sLoad.

Serve quindi massima attenzione quando si ricevono e-mail “ufficiali” contenenti allegati: i primi indicatori di una possibile frode/spam sono il mittente (mai aprire file provenienti da una persona sconosciuta), la correttezza grammaticale del testo, gli elementi grafici a contorno.
In ogni caso, sopratutto se hai qualche dubbio, è sempre bene fare analizzare dall’antivirus o dal Reparto IT, gli allegati all’e-mail in questione.

Fonte: Cert-pa