L'ultimo attacco malware passa per una finta mail del ministero delle Finanze

Gli account email di decine di aziende ed enti pubblici italiani sono oggetto di un attacco malware sotto forma di una falsa email del ministero delle Finanze che, se aperta, installa nel computer infettato un software che estrae informazioni sensibili, dalle coordinate bancarie alle credenziali della posta elettronica. A denunciarlo, sul suo blog, è l'esperto di cybersecurity Marco Ramilli.

Gli oggetti delle mail malevole, che fingono di essere state inviate dal "Ministero dell'Economia e delle Finanze", hanno oggetti che possono trarre facilmente in inganno quali "Codici Tributo Acconti" e "F24 Acconti-Codice Tributo 4034". Ciò dimostrerebbe che il responsabile dell'attacco ha una buona conoscenza dell'anno fiscale italiano, dato che tali oggetti si riferiscono a scadenze relative al periodi in corso. Il mittente non è però il Mef, bensì gli indirizzi info@amber-kate.com e info@fallriverproductions.com

Un link nel messaggio di posta, apparentemente diretto verso il sito del Mef, conduce, se cliccato, allo scaricamento di un file eseguibile contenente il malware, che Ramilli paragona al torjan GootKit, una versione più sofisticata e pericolosa del 'Banker Malware' di un paio d'anni fa. Una volta autoinstallato, il software invia le credenziali rubate al server di comando e controllo (ovvero al responsabile dell'attacco che gestisce la botnet).

Tra le possibili vittime dell'attacco, Ramilli cita la Camera dei deputati, il ministero dell'Interno, i comuni di Brescia e Bologna, le regioni Basilicata, Toscana e Veneto; Trenitalia, Fastweb, Tiscali, Vodafone e Wind.