Sembra una cartella esattoriale ma è un virus

virus

Virus. Lo hanno creato su misura per le aziende italiane e viene distribuito come una mail che sembra provenire dal ministero delle Finanze. TaxOlolo ha colpito più di 80 compagnie ed enti. Tra loro Aci, Fineco, Autostrade e i comuni di Brescia e Bologna. L’attacco è partito da un server inglese pagato probabilmente in bitcoin.
Chi ha confezionato la mail, il fisco italiano lo conosce bene. Almeno secondo la Yoroi di Bologna, azienda specializzata in sicurezza informatica che ha scoperto un attacco mirato alle aziende italiane. La mail ha come oggetto “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”, moduli noti a chi lavora nell’amministrazione. Solo l’indirizzo è chiaramente fasullo: info@amber-kate.com e info@fallriverproductions.com. Ma se si commette la leggerezza di non notarlo limitandosi all’oggetto, come è già accaduto, le conseguenze possono esser gravi anche se non sappiamo ancora quanto.
Una volta aperto il link il virus TaxOlolo, così ribattezzato a Bologna, si collega all’indirizzo 239outdoors.com/themes5.php e sul computer del malcapitato viene scaricato il file 1t.exe capace di istallarsi da solo e di mettersi in attesa di comandi dall’esterno. Si tratta di un malware imparentato con GootKit, un virus che affonda le sue radici in Russia nel 2013 e da allora evoluitosi. Ma è solo uno dei due file che fanno parte dell’attacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato. “Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli” racconta Marco Ramilli, a capo della Yoroi.
Stando alle indagini, le aziende che sarebbero cascate nel tranello sono circa 88 e quasi tutte italiane. Sono quelle che avrebbero aperto il link e scaricato il file. Ci sarebbero nomi di peso come quello dell’Aci, Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio nell’Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind. Da tutte queste aziende l’1t.exe ha contatto il server controllato dagli attaccanti.
“Nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro uffici veri e propri”, prosegue Marco Ramilli. “Incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo”. La società che affitta il server sarebbe la Namecheap.com, vende servizi cloud, e accetta pagamenti in bitcoin. A meno di errori madornali e pesanti ingenuità, sarà quindi difficile risalire a chi realmente ha sferrato l’attacco.
Font: JAIME D’ALESSANDRO – repubblica.it

 

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi