Campagna malspam coinvolge Bartolini ed Enel

È in atto una importante campagna malspam che simula l'invio di fatture Bartolini ed Enel, ma installa un password stealer

Autore: Redazione SecurityOpenLab

Le campagne malspam sono in sintesi massive campagne spam che veicolano documenti apparentemente leciti, ma che servono in realtà solo a diffondere malware. Ormai sono una costante della nostra vita digitale. E spiccano solo quando sono particolarmente massive o pericolose. In questi giorni è in atto una campagna malspam che ha entrambe queste caratteristiche e che coinvolge due marchi noti: Bartolini (BRT) ed Enel. Sembrano due campagne distinte, ma ci sono diversi punti in comune che fanno pensare ad un unico attore criminale.

In entrambi i casi i messaggi appaiono come inviti a pagare fatture insolute. Una mail proviene (apparentemente) da Bartolini e ha oggetto “BRT S.P.A. - Sollecito pagamento fatture” seguito da un numero. Il mittente sembra legittimo ma è falsificato via spoofing. Il testo del messaggio invita il destinatario a consultare un documento allegato in formato Excel. Questo documento contiene una macro che porta poi allo scaricamento di malware.

La mail che sembra inviare una o più fatture Enel insolute è progettata allo stesso modo. Ancora un mittente ben falsificato. E ancora un documento allegato Excel che contiene una macro "pericolosa". In entrambi i casi i criminali sono stati ben attenti a replicare l'impostazione grafica dei documenti di BRT ed Enel, aumentando il rischio che qualcuno caschi nella trappola.
Il gruppo criminale dietro alle mail è quasi certamente lo stesso. Non solo per la struttura dell'attacco, che è molto comune. Ma soprattutto per l'utilizzo dei medesimi server sia come repository da cui scaricare il malware, sia come nodi di comando e controllo per le azioni del malware una volta installato.

Il malware è lo stesso per le due mail ed è Ursnif o un suo derivato. In sintesi, un password stealer che si installa sul computer colpito ed è in grado di raccogliere dati sensibili come le password degli account online o i contenuti dei messaggi di posta. È anche in grado di consultare i dati che digitiamo nei web browser più comuni. Tutte queste informazioni vengono man mano trasferite ai server di comando e controllo.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.