Campagna malspam coinvolge Bartolini ed Enel
Redazione SecurityOpenLab È in atto una importante campagna malspam che simula l'invio di fatture Bartolini ed Enel, ma installa un password stealer
Le campagne malspam sono in sintesi massive campagne spam che veicolano documenti apparentemente leciti, ma che servono in realtà solo a diffondere malware. Ormai sono una costante della nostra vita digitale. E spiccano solo quando sono particolarmente massive o pericolose. In questi giorni è in atto una campagna malspam che ha entrambe queste caratteristiche e che coinvolge due marchi noti: Bartolini (BRT) ed Enel. Sembrano due campagne distinte, ma ci sono diversi punti in comune che fanno pensare ad un unico attore criminale.
In entrambi i casi i messaggi appaiono come inviti a pagare fatture insolute. Una mail proviene (apparentemente) da Bartolini e ha oggetto “BRT S.P.A. - Sollecito pagamento fatture” seguito da un numero. Il mittente sembra legittimo ma è falsificato via spoofing. Il testo del messaggio invita il destinatario a consultare un documento allegato in formato Excel. Questo documento contiene una macro che porta poi allo scaricamento di malware.
La mail che sembra inviare una o più fatture Enel insolute è progettata allo stesso modo. Ancora un mittente ben falsificato. E ancora un documento allegato Excel che contiene una macro "pericolosa". In entrambi i casi i criminali sono stati ben attenti a replicare l'impostazione grafica dei documenti di BRT ed Enel, aumentando il rischio che qualcuno caschi nella trappola.
Il gruppo criminale dietro alle mail è quasi certamente lo stesso. Non solo per la struttura dell'attacco, che è molto comune. Ma soprattutto per l'utilizzo dei medesimi server sia come repository da cui scaricare il malware, sia come nodi di comando e controllo per le azioni del malware una volta installato.
Il malware è lo stesso per le due mail ed è Ursnif o un suo derivato. In sintesi, un password stealer che si installa sul computer colpito ed è in grado di raccogliere dati sensibili come le password degli account online o i contenuti dei messaggi di posta. È anche in grado di consultare i dati che digitiamo nei web browser più comuni. Tutte queste informazioni vengono man mano trasferite ai server di comando e controllo.
In entrambi i casi i messaggi appaiono come inviti a pagare fatture insolute. Una mail proviene (apparentemente) da Bartolini e ha oggetto “BRT S.P.A. - Sollecito pagamento fatture” seguito da un numero. Il mittente sembra legittimo ma è falsificato via spoofing. Il testo del messaggio invita il destinatario a consultare un documento allegato in formato Excel. Questo documento contiene una macro che porta poi allo scaricamento di malware.
La mail che sembra inviare una o più fatture Enel insolute è progettata allo stesso modo. Ancora un mittente ben falsificato. E ancora un documento allegato Excel che contiene una macro "pericolosa". In entrambi i casi i criminali sono stati ben attenti a replicare l'impostazione grafica dei documenti di BRT ed Enel, aumentando il rischio che qualcuno caschi nella trappola.
Il gruppo criminale dietro alle mail è quasi certamente lo stesso. Non solo per la struttura dell'attacco, che è molto comune. Ma soprattutto per l'utilizzo dei medesimi server sia come repository da cui scaricare il malware, sia come nodi di comando e controllo per le azioni del malware una volta installato. Il malware è lo stesso per le due mail ed è Ursnif o un suo derivato. In sintesi, un password stealer che si installa sul computer colpito ed è in grado di raccogliere dati sensibili come le password degli account online o i contenuti dei messaggi di posta. È anche in grado di consultare i dati che digitiamo nei web browser più comuni. Tutte queste informazioni vengono man mano trasferite ai server di comando e controllo.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Set 24
IDC People at Processes at Work Summit 2025 - Milano
Ott 02
Dynatrace Innovate Roadshow - Roma
Ott 15
IDC Data & AI Summit 2025 - Milano
Ott 16
Fortinet Security Day 2025 - Milano
Ott 21
CyberTech Europe 2025
Nov 05
Fortinet Security Day 2025 - Roma
Dic 02
WPC 2025
Ultime notizie Tutto
Deepfake a basso costo alzano il rischio cyber delle aziende
18-07-2025
Un dipendente su cinque cede al phishing: boom di credenziali rubate
18-07-2025
FlashStart riprogetta il suo DNS Filtering
18-07-2025
Bug in Windows Server 2025: una chiave può aprire le porte delle aziende
17-07-2025
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
