Campagna malspam coinvolge Bartolini ed Enel
Redazione SecurityOpenLab È in atto una importante campagna malspam che simula l'invio di fatture Bartolini ed Enel, ma installa un password stealer
Le campagne malspam sono in sintesi massive campagne spam che veicolano documenti apparentemente leciti, ma che servono in realtà solo a diffondere malware. Ormai sono una costante della nostra vita digitale. E spiccano solo quando sono particolarmente massive o pericolose. In questi giorni è in atto una campagna malspam che ha entrambe queste caratteristiche e che coinvolge due marchi noti: Bartolini (BRT) ed Enel. Sembrano due campagne distinte, ma ci sono diversi punti in comune che fanno pensare ad un unico attore criminale.
In entrambi i casi i messaggi appaiono come inviti a pagare fatture insolute. Una mail proviene (apparentemente) da Bartolini e ha oggetto “BRT S.P.A. - Sollecito pagamento fatture” seguito da un numero. Il mittente sembra legittimo ma è falsificato via spoofing. Il testo del messaggio invita il destinatario a consultare un documento allegato in formato Excel. Questo documento contiene una macro che porta poi allo scaricamento di malware.
La mail che sembra inviare una o più fatture Enel insolute è progettata allo stesso modo. Ancora un mittente ben falsificato. E ancora un documento allegato Excel che contiene una macro "pericolosa". In entrambi i casi i criminali sono stati ben attenti a replicare l'impostazione grafica dei documenti di BRT ed Enel, aumentando il rischio che qualcuno caschi nella trappola.
Il gruppo criminale dietro alle mail è quasi certamente lo stesso. Non solo per la struttura dell'attacco, che è molto comune. Ma soprattutto per l'utilizzo dei medesimi server sia come repository da cui scaricare il malware, sia come nodi di comando e controllo per le azioni del malware una volta installato.
Il malware è lo stesso per le due mail ed è Ursnif o un suo derivato. In sintesi, un password stealer che si installa sul computer colpito ed è in grado di raccogliere dati sensibili come le password degli account online o i contenuti dei messaggi di posta. È anche in grado di consultare i dati che digitiamo nei web browser più comuni. Tutte queste informazioni vengono man mano trasferite ai server di comando e controllo.
In entrambi i casi i messaggi appaiono come inviti a pagare fatture insolute. Una mail proviene (apparentemente) da Bartolini e ha oggetto “BRT S.P.A. - Sollecito pagamento fatture” seguito da un numero. Il mittente sembra legittimo ma è falsificato via spoofing. Il testo del messaggio invita il destinatario a consultare un documento allegato in formato Excel. Questo documento contiene una macro che porta poi allo scaricamento di malware.
La mail che sembra inviare una o più fatture Enel insolute è progettata allo stesso modo. Ancora un mittente ben falsificato. E ancora un documento allegato Excel che contiene una macro "pericolosa". In entrambi i casi i criminali sono stati ben attenti a replicare l'impostazione grafica dei documenti di BRT ed Enel, aumentando il rischio che qualcuno caschi nella trappola.
Il gruppo criminale dietro alle mail è quasi certamente lo stesso. Non solo per la struttura dell'attacco, che è molto comune. Ma soprattutto per l'utilizzo dei medesimi server sia come repository da cui scaricare il malware, sia come nodi di comando e controllo per le azioni del malware una volta installato. Il malware è lo stesso per le due mail ed è Ursnif o un suo derivato. In sintesi, un password stealer che si installa sul computer colpito ed è in grado di raccogliere dati sensibili come le password degli account online o i contenuti dei messaggi di posta. È anche in grado di consultare i dati che digitiamo nei web browser più comuni. Tutte queste informazioni vengono man mano trasferite ai server di comando e controllo.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Giu 17
Microsoft 365 Business Premium e Veeam: alleati per il successo aziendale!
Giu 17
Cloud, velocità e semplicità: HeatWave cambia le regole del gioco per MySQL
Giu 17
IBM Activation day
Giu 17
Acronis Ultimate 365 - Protezione 7-in-1 per Microsoft 365
Giu 17
Webinar by AMD | Potenzia il tuo business con Ryzen PRO
Giu 17
Webinar Sicurezza - Identity e Access Management
Giu 17
Scopri come semplificare la cybersecurity con Sophos MSP Connect Flex | Iscriviti al nostro Live Webinar
Giu 17
Ready Informatica Webinar | Parallels - La soluzione sicura e performante per una virtualizzazione ottimizzata di app e desktop
Giu 18
AWS Summit 2025 - Milano
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
