Attenzione alle mail “Notifica – Processo legale in linea”

“Timeo Danaos et dona ferentes”
Eneide

Appena ricevuta una mail sospetta dal titolo “Notifica – Processo legale in linea“, con le miniature (illeggibili) di due pagine di documenti (probabilmente a simulare un atto di citazione o chissà cosa…) e un link da cliccare “( Stampa / visualizza )“.

Il mittente è assolutamente contraffatto, anche se pretende di essere “Governo Italiano 287841” (la mail proviene dall’SMTP azienda7.dsdsdskk.com con IP 45.135.229.117).

Sta circolando anche una seconda versione, stessa tecnica di attacco, che però pretende di essere una “citazione” da parte di Agenzia delle Entrate.

In entrambi i casi il link rimanda al dominio https://piazzimulobanquituto[.]com, registrato su GoDaddy il 21.04.2021. Attraverso due refresh via JS, viene chiesto di scaricare un archivio compresso “comucacione.php?e=16687xxxx“, contenente il file “notifica2104.msi” che, secondo l’analisi effettuata su VirusTotal, contiene un trojan che colpisce i sistemi MS Windows.

Ho effettuato una ulteriore analisi del malware attraverso JoeSandbox. Analisi che ha dato esito negativo, a causa di un errore nell’esecuzione del codice. Probabile tecnica di evasione? Chi fosse curioso può vedere i risultati qui: www.joesandbox.com/analysis/692572

A quanto risulta da una analisi fatta da un esperto, si tratta del malware “mekotio“, uno spyware bancario progettato per rubare le credenziali di accesso dei sistemi home banking e altri strumenti di pagamento on-line. Diffuso principalmente in America Latina, sta facendo in questi giorni la sua comparsa anche in Italia.

Questo attacco sfrutta tecniche di social engineering per indurre l’utente a cliccare sul link, scaricare ed eseguire l’allegato contenente il malware, con l’obiettivo di comprometterne il sistema, rubare informazioni, credenziali o trasformarlo in un drone ad uso e consumo delle organizzazioni cybercriminali.

Anche in questo caso valgono i soliti consigli di prudenza: MAI cliccare su link ricevuti via mail da mittenti non autorevoli, verificare sempre attentamente il reale mittente di una mail.