Attenzione alla nuova ondata di ransomware in finti avvisi Equitalia

Ransomware veicolato tramite phishing su avviso di pagamento Equitalia E’ in corso in questi giorni una nuova ondata di phishing attraverso falsi avvisi di pagamento firmati Equitalia che riprendono la campagna di ransomware inviato tramite finte cartelle di pagamento Equitalia dell’aprile 2016 che ha infettato tramite CTB-Locker numerosi computer con S.O. Windows in tutta Italia.

Il testo del messaggio che sembra provenire dall’indirizzo di posta elettronica “pagamento@equitalia.it” è identico a quello di aprile 2016, incluso l’errore “Agente della Risossione” (mancanza della ‘C’ nella parola “Riscossione”) e cita:

AVVISO DI PAGAMENTO

************************
Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 142 – 481192 – Roma

Art. 4192 D.P.R. 07/03/1942, n. 691 e successive modifiche – Art. 4192 D.P.R. 03/09/1942, n. 5192, Art. 190 c.p.c.

Gentile

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.006943470922” del 09/22/2016 , composto da 5 pagina/e di elenchi contribuenti a nr. 9 atti.

Si prega di scaricare il fattura

Equitalia S.p.A. C.F. P.I. 54192684192

Il link indicato dal messaggio punta all’indirizzo porta al sito onlinequiltmagazine.com dal quale viene avviato il download di un archivio ZIP da cloud Volafile protetto con password 7604 contenente il file “Documento n.006943470922.pdf.exe” che è ciò che infetta il computer con il ransomware.

Raccomandiamo quindi a chiunque riceva messaggi da parte di Equitalia contenenti link a indirizzi esterni di verificare con cautela il testo, il mittente, l’indirizzo del link e non scaricare eventuali documenti che dovessero essere contenuti in allegato o agli indirizzi indicati nei messaggi di posta elettronica.

Le prime analisi sembrano rilevare che i file cifrati vengano rinominati con l’estensione “.zgbbjem” e che il ransomware possa trattarsi nuovamente, come già ad aprile 2016, di CTB-locker.

Ringraziamo JAMESWT per la segnalazione e i link ai sample disponibili ai seguenti indirizzi:

  • https://www.reverse.it/sample/0c24ef7047f84f47703c8d2f51157b8a32d2a6a71c56fb95022c37cdb9ff698e?environmentId=100
  • https://www.virustotal.com/en/file/0c24ef7047f84f47703c8d2f51157b8a32d2a6a71c56fb95022c37cdb9ff698e/analysis/1474535901/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.