Ministero economina e finanze, in allegato F24 per acconto. Attenzione al Virus chiamato TaxOlolo

TaxOlolo il virus che si presenta come cartella esattoriale

TaxOlolo ha già infettato numerosi enti, quali camera dei deputati, ministero degli interni e trenitalia. Come si presenta? Che cosa succede? Cerchiamo di capire bene come avviene quest’ennesimo tentativo di truffa da parte dei criminali informatici.

Circola tra le caselle di posta elettronica una mail che, solo in apparenza, sembra essere una cartella esattoriale. Ha come oggetto Codici Tributo Acconti o anche F24 Acconti-Codice Tributo 4034 con all’interno il “solito” link truffa.

La Mail è, almeno in apparenza, attendibile visto che sembra provenire dal “Ministero dell’ Economia e delle Finanze”, in realtà gli indirizzi da cui esse partono risultano essere palesemente falsi(ricordiamo di controllare sempre l’indirizzo email del mittente visto che questo non può essere modificato e contraffatto dai cybercriminali).

Le mail provengono da:

  • info@amber-kate.com
  • info@fallriverproductions.com

Nel messaggio email c’è un testo che avvisa la persona (o l’ente a seconda dei casi) dell’imminente scadenza della dichiarazione dei redditi e di una ipotetica cartella esattoriale da pagare. Si viene invitati a cliccare su di un link per aprire un fantomatico allegato.

Ecco come si presenta la mail:

mail truffa cartella esattoriale

Cosa succede?

Come detto, all’interno della ben fatta email c’è il “solito” link. Se aperto questo link fa partire il malware TaxOlolo(cosi è stata battezzata la minaccia a Bologna) che si collega all’indirizzo web 239outdoors.com/themes5.php (ovviamente non copiate questo indirizzo) e inizia a scaricare del codice malevolo (sotto forma di file .exe – il file si chiama 1t.exe) sul vostro PC che rende, di fatto, il vostro computer “controllato” dai criminali che hanno inviato le mail.

Si tratta di un malware che è simile a GootKit, un virus che inventato in Russia nel “lontano” 2013 e da allora si è evoluto.

Tantissimi enti infettati da TaxOlolo

Stando ai primissimi dati relativi a questo virus sembrerebbe che abbia infettato realtà italiane molto importanti. Si parla di Aci, Autostrade, Camera dei deputati, alcuni comuni del norditalia, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio nell’Emilia, le regioni di Basilicata, Toscana e Veneto, e anche degli operatori telefonici come Telecom Italia, Tiscali.

E ancora Trenitalia, Università degli Studi di Milano, alcuni uffici di Vodafone e di Wind.

Secondo quando dichiarato da Marco Ramilli, responsabile di Yoroi, azienda bolognese specializzata nella sicurezza informatica, che per prima ha scoperto quest’attacco:

Stiamo approfondendo. Non sappiamo ancora cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli.

Come difendersi?

Vi ricordiamo, e lo abbiamo detto tantissime volte, di non aprire alcun link o file allegato a meno che non si sia certi del mittente: in caso di dubbi è sempre meglio evitare di compiere azioni di cui ci potremmo ben presto pentire.




Reply