La trappola del cashback
Con l’avvento del nuovo cashback di stato, le tecniche di phishing si fanno sempre più mirate e tendono ad attirare anche i truffatori meno esperti.
É proprio questo il motivo per cui ad oggi il CERT AGID e gli esperti di cybersecurity del D3Lab si sono adoperati per bloccare una campagna malspam attuata attraverso posta elettronica.
fonte: cert-agid.gov.it
Il malware perveniva alla vittima tramite un file scaricabile, appartentemente PDF, conenuto in una mail che come oggetto riportava “RICHIESTA COMPILAZIONE MODULO”. Il file scaricato però non era un documento pdf, ma bensì un virus piuttosto rudimentale chiamato “sysc32cmd”.
Una volta cliccato sul link per scaricare il file, la vittima veniva rindirizzata ad una pagina hostata su Altervista in cui veniva scaricato un file .zip contenente il malware. All’avvio collezionava le informazioni riguardo il dispositivo dell’utente.
Sembra che l’autore sia italiano perchè, come cita l’articolo del CERT AGID:
Il tema usato (cashback) è spiccatamente italiano e l’italiano usato nella e-mail è corretto.
Tra le stringhe lasciate dal compilatore VB6 ne spicca una che indica una struttura di directory italiana “C:\Programmi\Microsoft Visual Studio\VB98\VB6.OLB”.
fonte: cert-agid.gov.it
Inoltre il sito attraverso il quale viene scaricato il file zip contine all’interno del codice, la firma dell’autore (Giud@M@ligno). Ciò ha fatto intendere che chiunque si nasconda dietro questo alias, non sia un professionista.
Fonte: cert-agid.gov.it