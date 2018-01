Sembra una cartella esattoriale ma è un virus: già colpiti la Camera, gli Interni e Trenitalia

Chi ha confezionato la mail, il fisco italiano lo conosce bene. Almeno secondo la Yoroi di Bologna, azienda specializzata in sicurezza informatica che ha scoperto un attacco mirato alle aziende italiane.

Il suo nome è TaxOlolo e sebbene il nome possa apparire buffo, la pericolosità del virus è alta. Più di 80 le compagnie infettate dalla nuova minaccia, creata appositamente per colpire le realtà italiane.

La vicenda è raxccontata da Repubblica.

Nei messaggi è presente un breve testo che avvisa dell’imminente scadenza della dichiarazione dei redditi, con l’invito a cliccare su di un link per aprire un fantomatico allegato,

ma che in realtà apre una pagina Web (il cui indirizzo non riportiamo per ovvi motivi) che scarica sulla macchina un file exe in grado di installarsi da solo per renderne possibile l’accesso a malintenzionati da remoto.

La mail ha come oggetto “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”, moduli noti a chi lavora nell’amministrazione.

Solo l’indirizzo è chiaramente fasullo: info@amber-kate.com e info@fallriverproductions.com.

Ma se si commette la leggerezza di non notarlo limitandosi all’oggetto, come è già accaduto, le conseguenze possono esser gravi.

“Occhio, sembra una cartella esattoriale ma è un malware”

Per gli utenti più smaliziati può sembrare facile capire trattarsi di una mail malevola, ma a giudicare dalla quantità di compagnie vittime del virus e soprattutto dall’importanza delle medesime (tra le molte Trenitalia,

Fineco e lo stesso Ministero dell’Interno) si evince che una buona parte degli addetti ai lavori non controlli meticolosamente i mittenti delle e-mail.

Una volta aperto il link il virus TaxOlolo, così ribattezzato a Bologna, si collegava inizialmente all’indirizzo 239outdoors.com/themes5.php (evitate di copiarlo ovviamente) poi a quel server se ne sono affiancati altri.

Fanno tutti la stessa cosa: sul computer del malcapitato arriva il file 1t.exe capace di istallarsi da solo e di mettersi in attesa di comandi dall’esterno.

E’ un malware imparentato con GootKit, un virus che affonda le sue radici in Russia nel 2013 e da allora evoluitosi.

Ma è solo uno dei due file che fanno parte dell’attacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato. “Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli” ha spiegato Marco Ramilli, a capo della Yoroi.

Non è ancora chiaro quali siano le effettive intenzioni del gruppo che ha sviluppato il virus