Equitalia avvisa di nuova campagna di phishing

Ransomware che viene inviato tramite phishing Equitalia fingendosi "Agente della risossione"In questi giorni è stata lanciata una nuova campagna di ransomware che utilizza come vettore delle email che si fingono provenire da Equitalia

Equitalia ha pubblicato sul suo sito web e twittato dal suo account un messaggio nel quale ovviamente si dissocia da questi messaggi e mette in guardia le possibili vittime di questi finti avvisi di di pagamento:

Attenzione alle e-mail truffa su avvisi di pagamento di Equitalia

Continuano ad arrivare segnalazioni di e-mail truffa contenenti presunti avvisi di pagamento di Equitalia e che invitano a scaricare file o a utilizzare link esterni.
Equitalia è assolutamente estranea all’invio di questi messaggi e raccomanda nuovamente di non tenere conto della e-mail ricevuta e di eliminarla senza scaricare alcun allegato. Equitalia ha avuto conferma dal Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), l’unità specializzata della Polizia Postale, che in questi giorni è in atto una nuova campagna di phishing, cioè di tentativi di truffa informatica architettati per entrare illecitamente in possesso di informazioni riservate e raccomanda nuovamente di non tenere conto della e-mail ricevuta e di eliminarla senza scaricare alcun allegato.

Di seguito, a titolo esemplificativo, sono riportati alcuni dei domini utilizzati per l’invio delle false e-mail di cui Equitalia ha avuto conoscenza sulla base delle segnalazioni, anche informali, dei destinatari delle medesime:

assistenza@creval.it, assistenza@protocol.it, autorizzata@postcert.it, avviso@eq.it, avviso@equitalia.it, b4g112693.329597469@gruppoequitalia.it, b4g116353.654618283@gruppoequitalia.it, b4g232024.871969135@gruppoequitalia.it, b4g340831.290834225@gruppoequitalia.it, b4g37105.7327400958@gruppoequitalia.it, b4g484809.283418861@gruppoequitalia.it, b4g589127.28767122@gruppoequitalia.it, b4g829188.595601231@gruppoequitalia.it, b4g829823.325938126@gruppoequitalia.it, b4g959117.53274326@gruppoequitalia.it, cifre@equitliaroma.it, eqeuitalia@sanzioni.it, equitalia@avvia.it, equitalia@sanzioni.it, eqeuitalia@sanzioni.it, equitaliat@raccomandata.it,fatture@gruppoequitalia.it, fatture-equitalia@fatture-gruppoequitalia.it, info@unipol.it, info@venetobanca.it, info_9@intesasanpaolo.it, info14@bcpp.it, info17@bcpp.it, info19@cse.it, info6@bcpp.it, info28@bper.it, info55@bper.it, info76842@bcca.it, multe@equitalia.online, noreplay@bancoposta.it, noreply@certificazione.it, noreply@equitalia.it, noreply@legge.it, noreply@pec.it, noreply@postecert.it, noreply@protocol.it, noreply-equit@eq.it, pagamenti@equitalia.it, pagamento@equitalia.it, pagamento@gruppoequitalia.it, pagammento@equitalia.it, reply-equi@riscossioni1.it, servizio@equitalia.it, servizio@unicredit.it, servizio_clienti@poste.it, support@update.it, veneziagiulia@pec.equitalia.it, zaeaisrl@pec.it, zuhadsrl@pec.it, web_1@postepay.it

Il testo delle mail di phishing che veicolano il cryptovirus è sempre lo stesso da diversi mesi:

Agente della Risossione Equitalia S.p.A. Via Cristoforo Colombo 5527 – 00527 – Roma Art. 26 D.P.R. 29/09/1973,n. 527 e successive modifiche – Art.60 D.P.R. 29/09/1973, n.592,Art140 c.p.c. Gentile Ransomware Blog Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge, di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.00182877-2810010” del 15/11/2016, composto da 3 pagina/e di elenchi contribuenti a nr 11 atti. Si prega scaricare il fattura Equitalia S.p.A. C.F. P.I. 08704527005

Le mail di phishing Equitalia contengono in genere allegati che attivano il download di ransomware, come ad esempio CTB-Locker o Locky, che infettano i PC delle vittime, criptano i documenti e chiedono un riscatto in bitcoin.

Un sample di payload di questa campagna si può visionare su Virustotal con MD5 eeca55c18477d773a18c1895148db215 e SHA1 6d7a6a89f02c813950a2c1bf41cff13b5feab9b3 e
SHA256 6c8e49026494a8f59f75c4988194d880cdc74e5fd4ad27dade3dcf2acb2ba38d.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *