virus

La proprietà camaleontica dei virus

Il problema principale degli internauti è riuscire a riconoscere i virus e i siti che potrebbero portare a un’infezione del proprio computer o dispositivo mobile. Spesso, nonostante tutte le precauzioni del caso, gli utenti cadono nella trappola informatica dell’hacker e inevitabilmente vengono infettati. Questo succede perchè molti virus non provengono dalla navigazione in internet, bensì da semplici mail che arrivano nella posta elettronica (il famoso fenomeno del phishing di cui abbiamo parlato qui e qui).

Questo è proprio quello che è successo alle aziende italiane che sono incappate nel virus TaxOlolo, così ribattezzato a Bologna, che ha ingannato gli utenti presentandosi come una cartella esattoriale. Infatti la mail aveva come oggetto “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”, moduli noti a chi lavora nell’amministrazione. La proprietà camaleontica del virus gli ha permesso di ingannare le aziende italiane attirandole nella sua trappola. Solo l’indirizzo poteva accendere un campanello d’allarme nell’utente, essendo chiaramente falso: info@amber-kate.com e info@fallriverproductions.com

Una volta aperto il link in questione, il virus TaxOlolo, si collega all’indirizzo 239outdoors.com/themes5.php e sul computer del malcapitato viene scaricato il file 1t.exe capace di installarsi da solo e di mettersi in attesa di comandi dall’esterno. Si tratta di un malware imparentato con GootKit, un virus nato nel 2013 in Russia e che da allora si è evoluto. Purtroppo il file 1t.exe è solo uno dei due file che fanno parte dell’attacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato.

Da quello che è emerso dalle indagini sono circa 88 le aziende che sarebbero cascate nel tranello, aprendo il link incriminato e scaricando automaticamente il virus. Tra queste si trovano nomi di aziende importanti come: Aci, Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio nell’Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind. Da tutte queste aziende l’1t.exe ha contattato il server controllato dagli hacker.

Le autorità sono riuscite a risalire alla società che affitta il server, sarebbe la Namecheap.com, la quale vende servizi cloud, e accetta pagamenti in bitcoin. Questo rende difficile risalire a chi ha davvero sferrato l’attacco, dato che il pagamento in bitcoin consente il totale anonimato del compratore.

Questo è un altro esempio di quanto sia importante la cyber security e soprattutto la formazione del proprio personale in fatto di sicurezza informatica e prevenzione.

EticLab fornisce consulenza alle aziende che vogliono rinforzare le proprie barriere di sicurezza informatica e formare il proprio personale interno nella gestione di queste possibili minacce.