Non aprite quel messaggio di posta elettronica: potrebbe contenere un virus. Non è un avvertimento generico ma una indicazione specifica relativa a due attacchi hacker attualmente in corso in Italia, da parte di un non meglio identificato gruppo di cyber criminali che hanno l’obbiettivo di rubarci dati sensibili su larga scala.

L’allarme sul primo attacco proviene dalla società di sicurezza informatica Yoroi, che ha diffuso una nota in cui spiega la dinamica di questo attacco, confermata anche dal Computer Emergency Response team della Presidenza del Consiglio de Ministri per la Pubblica Amministrazione (CERT-PA).

Si tratta di un attacco denominato SLoad-ITA, versione localizzata in italiano di una campagna hacker già effettuata a maggio contro utenti del Regno Unito.

Le caselle mail già raggiunte sarebbero migliaia: l’attacco è iniziato il 10 novembre e i picchi massimi, al momento, si sono registrati nei giorni tra il 19 e il 24 novembre.

Il secondo attacco è stato comunicato ieri dal CERT-PA e riguarda la diffusione del Torjan Danabot e la prima mail infetta è stata rilevata nella mattina del 27 Novembre 2018.

L’infezione di SLoad-ITA nasce, come dicevamo, da una classica mail fraudolenta che ci invita ad aprire una fattura elettronica emessa a luglio. Cliccando sul link per scaricare la fattura viene eseguito il download di un file ZIP contenente al suo interno una immagine in formato PNG e un collegamento LNK. Cliccando sul file LNK viene eseguito il codice malevolo vero e proprio, che è nascosto però nel precedente file ZIP e questa finezza permette a questo attacco di superare la maggior parte dei controlli antivirus delle caselle di posta elettronica. Tale codice procede al download di altri file che nasconde sul computer da infettare che, a loro volta, riescono a rubare informazioni su tutti i dispositivi colpiti.

Il Trojan Danabot funziona in modo molto simile: la solita mail ci invita a scaricare la solita fattura, questa volta con data di novembre 2018, e quando clicchiamo sul link viene scaricato un file compresso, questa volta in formato Rar. Dentro al file Rar è contenuto uno script che, appena viene eseguito, scarica sul PC che sta infettando il Trojan Danabot. Il terzo stage consiste nel programmare l’esecuzione del malware ad ogni riavvio del PC, per combattere una eventuale scansione antivirus.

Ma cosa fanno, esattamente, questi due nuovi virus che si stanno diffondendo velocemente in Italia? Nel caso di SLoad-ITA i codici malevoli collezionano informazioni sul nostro computer, come le applicazioni che stiamo utilizzando, i dati della nostra connessione internet e provvedono ad eseguire screenshot periodici del nostro desktop. Tutte queste informazioni vengono poi inviate, a nostra insaputa, ai server degli hacker che rispondono inviando ulteriori file (diversi dai precedenti) ma ugualmente infetti e con nuove porzioni di codice malevolo. Il Trojan Danabot, invece, tenta di sottrarci le credenziali (login e password) di sistema, le credenziali del browser e del client di email e infine di ottenere l’accesso remoto al nostro PC tramite i sistemi VNC e RDP. In entrambi i casi, quindi, si tratta di sofisticate campagne di cyberspionaggio messe in atto per raccogliere enormi quantità di informazioni sulle abitudini di (potenzialmente) milioni di utenti.

Visto il modo in cui funziona SLoad-ITA, al momento la mail incriminata riesce a passare attraverso i filtri antivirus della maggior parte delle caselle di posta elettronica. Il continuo download di file infetti sempre diversi riduce anche l’efficacia di una scansione antivirus locale, sul PC già infetto, perché è come se il virus cambiasse in continuazione.

Danabot è meno evoluto, ma comunque difficile da filtrare dall’antispam della posta elettronica.

Al momento, quindi, la miglior misura di precauzione per difendersi da SLoad-ITA e da Danabot è anche la meno tecnica: aprite gli occhi e, se vi arriva una mail che vi invita a scaricare una fattura elettronica da un indirizzo che non conoscete, cestinatela immediatamente.

Ci è pervenuto il 12/2/2018 19:39 il seguente messaggio email

PosteItaliane documenti identità Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. ">Poste Italiane - S.p.A ( Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. )

Non lo aprite ! Sono hacker

“Gentile utente,

Sistema di sicurezza

Questo indirizzo e-mail e stata inviata da Poste italiane per informarvi che siamo stati in grado di verificare i tuoi dati.

Questo potrebbe essere dovuto a uno dei seguenti motivi:

Abbiamo rilevato molti tentativi di accesso non riusciti.

Recente (!cambiamennto!) delle vostre informazioni personali.

O sei stata vittima di un furto di dati elettronici.

Per assicurarsi che il servizio non viene interrotto chiediamo di confermare e aggiornare i dati
Per verificare la vostra identita si prega cliccare sul link qui sotto e eseguire questa procedura online .https://cliente-banco-evo-poste-pay-sicurezza-html-sicurezza-cliente-assistenza-postepay.it/assistenza.html/html/fcc-authentication.html

Grazie per la vostra attenzione rapida a questa materia.

Non rispondere a questa e-mail.

La posta inviata a questo indirizzo non puo essere risposto a. P.IVA 04107060966 - © Poste italiane 2018”

Notate, a tal proposito, quanti Scarrafoni ( da Ogni scarrafone è bello a mamma soja) letterari si leggono!

Accedendo sul sito de Il Corriere della Calabria compra la seguente scritta preceduta dalla immagine sottostante l’articolo:

1. Noi siamo AnonPlus e questo è il nostro manifesto.

2. Ogni persona che vuole difendere la propria libertà di informazione, la libertà del popolo e l'emancipazione di quest'ultimo dalla schiavitù dei media e di chi ci governa, di chi ci usa come strumento per attuare i suoi sporchi fini, fa già parte di AnonPlus.

Ogni persona che ha volontà di agire è benvenuta.

AnonPlus combatte i sopprusi, le inequità, le corruzioni, le manipolazioni, le religioni e quant'altro messo in atto da governi, politici, religioni e gruppi di potere finanziaro a discapito del popolo.

3. AnonPlus ha uno spazio di condivisione di idee aperto a tutti: webchat.anonplus.org

4. AnonPlus diffonde idee senza censura, crea spazi per divulgare in maniera diretta, mediante defacciamento di massa, notizie che nei media gestiti ad uso e consumo di chi ci controlla non trovano spazio, al fine di ridare dignità alla funzione stessa dei media.

AnonPlus mette offline siti che contribuiscono attivamente al controllo delle masse, i quali, manipolando informazioni e opinioni, creano false realtà.

AnonPlus non agisce per interessi personali o politici, non ha capi, si muove per l'interesse del popolo e per restituire al popolo la sovranità;

AnonPlus e' aperta a ogni proposta del popolo, per il popolo.

5. Il giorno che tali obbiettivi saranno raggiunti AnonPlus cesserà di esistere.

No war - No religions - No politicals - No financial power - for a Better World

WE ARE LEGION

WE DON'T FORGET

WE DON'T FORGIVE

EXPECT US!

ANONPLUS ITALIA

P.S. Nessun dato è stato rubato o cancellato. solo la home page è stata cambiata. Non siamo criminali, noi siamo AnonPlus

https://twitter.com/AnonPlus_Info

Gli Hacker ne sanno una più del diavolo.

Ecco la prova

Stanno arrivando email da indirizzi conosciuti , spesso da amici.

Quando li apri si trova dentro un link ipertestuale.

Se lo apri dentro c’è la sorpresa , un virus che induce il vostro computer a sparare messaggi a tutti gli indirizzi mail presenti nel vs PC

Non sappiamo se poi il virus fa anche altri danni

Insospettiti dal fatto che mancava l’oggetto della email abbiamo provato a chiedere al mittente se fosse una vera email.

Rispondendo , infatti, al mittente ci viene notificato un messaggio dall’amministratore di sistema che ci informa che “Il messaggio non ha raggiunto alcuni o tutti i destinatari”.

In sostanza l’indirizzo di partenza della email è diverso da quello visualizzato, e probabilmente è quello dell’Hacker.

Abbiamo allora provato a scrivere direttamente all’indirizzo email del mittente apparente la stessa richiesta.

Ecco una delle risposte ricevute:.

“Credo che sia un virus. Non uso la email da 5 giorni”.

Non solo ma ci ha insospettito anche il fatto che una delle email peraltro risultava spedita da una scuola locale ma in un impossibile orario notturno.

A questo punto abbiamo ritenuto necessario pubblicare il presente articolo per avvertire di quanto sta succedendo.

Noi abbiamo segnalato ai mittenti apparenti la situazione e la opportunità di verificare i loro PC,