Attenzione al finto avviso di pagamento Equitalia che diffonde CTB-Locker

Avviso Equitalia e Ransomware CTB-LockerSe avete ricevuto in questi giorni un messaggio di posta elettronica intitolato “AVVISO NUMERO 000793348” e proveniente da “pagamento@gruppoequitalia.it” non siete vittima delle cosiddette “cartelle pazze” ma potenziali vittime di un ransomware, chiamato CTB-Locker che, se attivato, cripta i documenti sul vostro PC chiedendo un riscatto in bitcoin per poterli decifrare.

La mail si presenta con una intestazione che cita un fantomatico “Agente della Risossione” (la ‘C’ manca anche nell’originale) e gli articoli di legge “Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.” per poi informare la vittima del deposito di un avviso di pagamento “Documento Numero 000793348” presso la Casa Comunale del Comune.

Finto pagamento Equitalia - Avviso Numero 000793348

Il testo della finta mail di phishing Equitalia, contenente l’informazione circa il deposito di un fantomatico “Avviso di Pagamento”, è il seguente:

Subject: AVVISO NUMERO 000793348
Date: Wed, 6 Apr 2016 11:23:38 +0600 (BDT)
From: Equitalia <pagamento@gruppoequitalia.it>
To: info@ransomware.it

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 470 – 0047097 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.

Gentile info@ransomware.it,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 000793348” del 06/04/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti  [ Scarica il documento]

© Equitalia S.p.A. C.F. P.I. 0917089156470

Le mail possono avere oggetto contenente numeri diversi, come “AVVISO NUMERO 000793348”, “AVVISO NUMERO 00045552”, “AVVISO NUMERO 00071552”, “AVVISO NUMERO 000793348 “, “AVVISO NUMERO  00045552”, “AVVISO NUMERO 000793348”, etc… con il criterio di aggiungere a un fantomatico “AVVISO NUMERO” un numero fittizio di avviso di riscossione Equitalia.

I link puntano verso piattaforme di cloud come Dropbox oppure su siti web creati presso l’hosting dedicatedpanel.com.

Cliccando sul link si attiva il download del vero e proprio trojan, chiamato in diversi modi, ad esempio “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, “Documento Numero 00071552.pdf.exe”, “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, etc… sempre seguendo il criterio di aggiungere al nome “Document Numero” un numero fittizio di avviso di pagamento Equitalia.

Il sito ufficiale di Equitalia mette in guardia dalle false mail con presunti avvisi di pagamento e riscossione [WBM] precisando giustamente che “Equitalia è estranea a questi messaggi potenzialmente pericolosi“.

Phishing con la truffa dei finti avvisi Equitalia

Equitalia allega anche un comunicato stampa ufficiale circa le mail di truffa [WBM] precisando che “Continuano ad arrivare segnalazioni di messaggi di posta elettronica con mittente fatture@gruppoequitalia.it, equitalia@sanzioni.it, servizio@equitalia.it, noreply@equitalia.it, multe@equitalia.online o simili, contenenti presunti avvisi di pagamento di Equitalia e che invitano a scaricare file, a utilizzare link esterni o a effettuare pagamenti. Equitalia ha avuto conferma dalla Polizia Postale che da tempo è in atto una campagna di phishing, cioè di tentativi di truffa informatica architettati per entrare illecitamente in possesso di informazioni riservate. Equitalia è assolutamente estranea all’invio di questi messaggi e ha già presentato querela contro ignoti, pertanto raccomanda nuovamente di non tenere conto della e-mail ricevuta, di eliminarla senza scaricare alcun allegato e di non effettuare i pagamenti richiesti. In ogni caso è possibile richiedere informazioni al call center di Equitalia al numero verde 800 178 078 o al numero 02 3679 3679 (secondo piano tariffario).“.

Il comunicato stampa di Equitalia circa il phishing truffa fornisce anche un elenco degli indirizzi di posta da dove sono stati rilevati provenire i messaggi: “fatture@gruppoequitalia.it, equitalia@sanzioni.it, servizio@equitalia.it, noreply@equitalia.it, servizio@unicredit.it, servizio_clienti@poste.it, noreply-equit@eq.it, support@update.it, equitalia@avvia.it, noreply@postecert.it, reply-equi@riscossioni1.it, equitaliat@raccomandata.it, cifre@equitliaroma.it, assistenza@protocol.it, noreply@certificazione.it, info55@bper.it, noreply@protocol.it, noreply@legge.it, noreplay@bancoposta.it, b4g484809.283418861@gruppoequitalia.it, b4g116353.654618283@gruppoequitalia.it, web_1@postepay.it, pagamento@equitalia.it, pagamenti@equitalia.it, b4g829823.325938126@gruppoequitalia.it, b4g589127.28767122@gruppoequitalia.it, b4g112693.329597469@gruppoequitalia.it, noreply@pec.it, b4g829188.595601231@gruppoequitalia.it, b4g959117.53274326@gruppoequitalia.it, pagamento@gruppoequitalia.it, info28@bper.it, b4g232024.871969135@gruppoequitalia.it, fatture-equitalia@fatture-gruppoequitalia.it, autorizzata@postcert.it; info76842@bcca.it; info14@bcpp.it; info17@bcpp.it; info19@cse.it;info6@bcpp.it; tiziano.baggio@equitaliaspa.legalmail.it; info@venetobanca.it; info@unipol.it; assistenza@creval.it; b4g340831.290834225@gruppoequitalia.it; pagammento@equitalia.it; b4g37105.7327400958@gruppoequitalia.it; multe@equitalia.online.

Ovviamente il consiglio è quello di cancellare i messaggi di posta e non cliccare sull’allegato. Se avete aperto il messaggio non c’è pericolo, basta non scaricare l’allegato e aprirlo. Se lo avete aperto, mantenete la calma, scollegate il PC dalla rete e spegnetelo per limitare i danni.

Chi vuole studiare il ransomware distribuito dalla campagna che finge cartelle di riscossione Equitalia può trovare ai seguenti link dei sample da scare e analizzare:

  • https://malwr.com/analysis/MTI4NDZiNTZmYzEwNDcyMWJkNTE0ODQ0NzhiM2VhZTM/
    • MD5: a39536efcf5aec90d702824451fd6f92
    • SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
  • https://malwr.com/analysis/MWY5N2QyZTY4OGZjNGFhODg3ZjI3ZmM1Nzc4NWE4MWM/
    • MD5 3b99f35048b8bd2f20b200b7c2a4b98c
    • SHA1 4008d6f5953a9e1e1fc39581342235f56cb68560
  • https://malwr.com/analysis/MzI4OGQ5MGViM2ZlNGE1NmJlOTMzOWNlZDI5ODIzODc/
    • MD5 a4c64aefb73d3623521d91d5d63cdb45
    • SHA1 049afbbc287a04a0f76b8816698131e281590016
  • https://malwr.com/analysis/M2RlYjljZjhkZjU3NDgwMDgxMmZiYWIyM2I2ODkxZTU/
    • MD5 a39536efcf5aec90d702824451fd6f92
    • SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
  • https://malwr.com/analysis/M2U5YjBmMjdlN2JkNDMxNWFlMmNiMTdhMzI2NWEwNmY/
    • MD5 db0a2be5b0eb4603fada6e6f79f3d267
    • SHA1 b829e48a021b6d2f5041528a2386e9c98e13763b

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.