Finta e-mail del MISE, nuova esca per rubare dati: i dettagli della truffa - Cyber Security 360

L'ANALISI TECNICA

Finta e-mail del MISE, nuova esca per rubare dati: i dettagli della truffa

È in corso una nuova campagna malspam indirizzata a utenze italiane per diffondere il malware bancario Ursnif/Gozi mediante una finta e-mail del MISE con riferimenti ad agevolazioni fiscali e aiuti alle imprese. Ecco come riconoscere i messaggi malevoli e i consigli per non cadere nella trappola

15 Feb 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Il malware bancario Ursnif/Gozi torna a colpire aziende e privati in Italia con una nuova campagna malspam che sta diffondendo una finta e-mail del MISE (Ministero dello Sviluppo Economico) con riferimenti ad agevolazioni fiscali e aiuti alle imprese.

Si tratta di una nuova variante del malware che lo scorso mese di settembre 2020 si era già diffuso nel nostro Paese mediante finte e-mail inviate dal Direttore dell’Agenzia delle Entrate.

La truffa della finta e-mail del MISE

La nuova variante del banking trojan Ursnif/Gozi è stata osservata dagli analisti del CSIRT Italia isolandone alcuni campioni all’interno di e-mail che riproducono in tutto e per tutto gli elementi grafici e il logo del Ministero dello sviluppo economico (MISE).

DIGITAL EVENT, 18 MAGGIO
I Dati sono il nuovo petrolio! Scopri l'evoluzione di Cloud, AI, Sicurezza per la gestione del dato

In particolare, il testo contenuto nel finto messaggio del MISE fa espresso riferimento ad una presunta circolare ministeriale relativa ad agevolazioni fiscali e aiuti alle imprese: un modo subdolo per attirare le attenzioni di aziende e privati già in difficoltà per gli effetti economici della pandemia da Covid-19 e indurre quindi gli ignari utenti ad aprire il documento Word dett_7522403.doc in allegato.

È inutile dire che al suo non c’è alcun testo di circolare ministeriale ma una macro malevola.

Autorizzandone l’esecuzione, l’utente non fa altro che avviare la catena infettiva del malware. Viene infatti scaricata una DLL relativa al malware Ursnif/Gozi dal dominio megawatt[.]casa che viene successivamente archiviata all’interno della cartella C:/Users/Public/ con il nome lo.jpg.

Subito dopo, il file viene eseguito per attivare la nuova variante del malware Ursnif/Gozi.

Le azioni consigliate per non cadere in trappola

Per far fronte a questo nuovo attacco informatico è utile controllare sempre con la massima attenzione le e-mail ricevute, anche se dovessero aver superato i controlli dell’antivirus e dell’antispam.

È importante, inoltre, limitare le funzionalità delle macro presenti nei documenti Office che attivano automaticamente connessioni a Internet.

Per identificare e contrastare campagne malspam come questa delle finte e-mail inviate dal MISE è fondamentale, inoltre, prevedere sessioni di formazione in sicurezza informatica rivolte a tutti gli utenti aziendali mirate a diffondere le conoscenze giuste per riconoscere gli attacchi di tipo phishing.

Gli amministratori di sistema, infine, possono valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) identificati dallo CSIRT Italia e utili a identificare la nuova variante del malware bancario Ursnif/Gozi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4