Autorizzazione

 
  •  Morto il famoso astronomo ucraino, Klim Churyumov 
  •  Nella galassia c'è anche il "terzo incomodo" 
  •  Pubblicato il progetto del comunicato finale del vertice del G20 
  •  A Kiev, stanziati 40 milioni di dollari per l'installazione dei contatori di calore nei condomini 

Sembra una cartella esattoriale ma ? un virus: gi? colpiti la Camera, gli Interni e Trenitalia

ROMA - Chi ha confezionato la mail, il fisco italiano lo conosce bene. Almeno secondo la Yoroi di Bologna, azienda specializzata in sicurezza informatica che ha scoperto un attacco mirato alle aziende italiane. La mail ha come oggetto Codici Tributo Acconti o anche F24 Acconti-Codice Tributo 4034, moduli noti a chi lavora nellamministrazione. Solo lindirizzo è chiaramente fasullo: info@amber-kate.com e info@fallriverproductions.com. Ma se si commette la leggerezza di non notarlo limitandosi alloggetto, come è già accaduto, le conseguenze possono esser gravi anche se non sappiamo ancora quanto.
Una volta aperto il link il virus TaxOlolo, così ribattezzato a Bologna, si collega allindirizzo 239outdoors.com/themes5.php e sul computer del malcapitato viene scaricato il file 1t.exe capace di istallarsi da solo e di mettersi in attesa di comandi dallesterno. Si tratta di un malware imparentato con GootKit, un virus che affonda le sue radici in Russia nel 2013 e da allora evoluitosi. Ma è solo uno dei due file che fanno parte dellattacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato. Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli racconta Marco Ramilli, a capo della Yoroi.
Stando alle indagini, le aziende che sarebbero cascate nel tranello sono circa 88 e quasi tutte italiane. Sono quelle che avrebbero aperto il link e scaricato il file. Ci sarebbero nomi di peso come quello dellAci, Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dellinterno, Provincia di Reggio nell'Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind. Da tutte queste aziende l1t.exe ha contatto il server controllato dagli attaccanti.
Nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro uffici veri e propri, prosegue Marco Ramilli. "Incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo. La società che affitta il server sarebbe la Namecheap.com, vende servizi cloud, e accetta pagamenti in bitcoin. A meno di errori madornali e pesanti ingenuità, sarà quindi difficile risalire a chi realmente ha sferrato l'attacco.
lascia un commento
Video del giorno
Notizie
  • Ultimo
  • Leggere
  • Commentate
Calendario Materiali
«     2018    »
 1234
567891011
12131415161718
19202122232425
262728