Yoroi rileva un malware trojan/banking che si sta diffondendo in allegato a un messaggio che finge di provenire dall’Agenzia delle Entrate
Yoroi sta informando i propri clienti di una pericolosa campagna di attacco basata su email fraudolente. I messaggi intercettati dai ricercatori di Yoroi simulano ipotetiche comunicazioni relative ad avvisi di pagamento provenienti da “Agenzia Entrate” a cui è allegato un documento Excel in grado di infettare il PC vittima.
I ricercatori di Cybersecurity Yoroi hanno analizzato i campioni intercettati e hanno rilevato che la minaccia si riconduce alla famiglia ZeuS/Panda (botnet 2.5.6): analogamente a quanto accaduto recentemente nel caso della minaccia che fingeva di provenire da “Enel Energia”, la variante del trojan individuata ha la capacità di intercettare dati utente all’interno dei browser web in uso (Man-in-the-Browser), trafugare schermate e digitazioni durante le sessioni di lavoro, instaurare canali di comunicazione backdoor e permettere agli attaccanti accesso alla rete locale.
L’e-mail si presenta con le seguenti caratteristiche:
- Oggetto:
- “LET_FORMAT_ERROR“
- “avviso di pagamento”
- Mittenti:
- Molteplici account di posta potenzialmente compromessi da domini @inwind.it , @tiscali.it , @hotmail.it , @aliceposta.it, @tim.it , @outlook.it , @libero.it, @legalmail.it , @fastwebnet.it
- Allegati:
- “<4CIFRE>-F24.xls” (ad esempio “5368-F24.xls”)
Gli esperti di sicurezza di Yoroi sono disponibili per approfondimenti sulle minacce informatiche e in particolare sulla campagna di Attacco trojan/banking Zeus/Panda tematizzata “Agenzia delle Entrate” in essere.
Yoroi consiglia di mantenere alto il livello di guardia all’interno delle aziende, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.