Chi ha confezionato la mail, il fisco italiano lo conosce bene. Almeno secondo la Yoroi di Bologna, azienda specializzata in sicurezza informatica che ha scoperto un attacco mirato alle aziende italiane. La mail ha come oggetto “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”, moduli noti a chi lavora nell’amministrazione. Solo l’indirizzo è chiaramente fasullo: info@amber-kate.com e info@fallriverproductions.com. Ma se si commette la leggerezza di non notarlo limitandosi all’oggetto, come è già accaduto, le conseguenze possono esser gravi anche se non sappiamo ancora quanto.
Una volta aperto il link il virus TaxOlolo, così ribattezzato a Bologna, si collega all’indirizzo 239outdoors.com/themes5.php e sul computer del malcapitato viene scaricato il file 1t.exe capace di istallarsi da solo e di mettersi in attesa di comandi dall’esterno. Si tratta di un malware imparentato con GootKit, un virus che affonda le sue radici in Russia nel 2013 e da allora evoluitosi. Ma è solo uno dei due file che fanno parte dell’attacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato. “Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli” racconta Marco Ramilli, a capo della Yoroi.
Stando alle indagini, le aziende che sarebbero cascate nel tranello sono circa 88 e quasi tutte italiane. Sono quelle che avrebbero aperto il link e scaricato il file. Non significa necessariamente che le loro reti siano poi state infettate, dipende dai singoli sistemi di sicurezza e molti hanno bloccato la minaccia, solo che qualcuno al loro interno ha aperto la porta senza capire cosa stava facendo.
Ci sarebbero nomi di peso come quello di Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio nell’Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind e agenzie esterne legate ad Aci. Da tutte queste aziende l’1t.exe ha contatto il server controllato dagli attaccanti.
“Nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro uffici veri e propri”, prosegue Marco Ramilli. “Incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo”. La società che affitta il server sarebbe la Namecheap.com, vende servizi cloud, e accetta pagamenti in bitcoin. A meno di errori madornali e pesanti ingenuità, sarà quindi difficile risalire a chi realmente ha sferrato l’attacco.
Commenta