Agenzia delle Entrate mette in guardia dai tentativi di phishing via Pec in circolazione tramite false email sulla fatturazione elettronica.

Si tratta dell’ennesimo tentativo di truffa. Nel mirino ci sono le caselle Pec di strutture pubbliche, come private e di soggetti iscritti agli ordini professionali (che hanno l’obbligo di avere una caselle di posta elettronica certificata).

Le email con il tentativo di phishing hanno come oggetto la dicitura Invio File<xxxxxx>, l’obiettivo vero è carpire informazioni ulteriori sul destinatario da utilizzare poi per ulteriori tentativi di diffusione di malware.

L’evoluzione della campagna di phishing

Come spesso capita per i tentativi di phishing studiati ad arte, il testo del messaggio trae in inganno il destinatario perché è ripreso da una precedente comunicazione legittima inviata dal Sistema di Interscambio (SdI) dell’Agenzia. 

L’Agenzia però mette in guardia avvertendo che i messaggi Pec legittimi inviati dal Sistema di Interscambio si presentano con specifiche caratteristiche.

Prima di tutto il mittente è del tipo sdiNN@pec.fatturapa.it (dove NN è un numero progressivo numero a due cifre), la seconda caratteristica è legata al numero di allegati (due) composto in accordo alle specifiche sulla Fatturazione Elettronica, specifiche che sono pubblicate sul sito dell’Agenzia.

E’ un dato importante ripreso anche da Cert-PA (Computer Emergency Response Team PA) , che ha indagato l’esistenza della campagna malevola ancora in evoluzione, veicolata da Pec italiane compromesse, e menziona un allegato dal nome ITYYYYYYYYYY_1bxpz.XML.p7m che però poi non compare nella email. Questo potrebbe far pensare ad una dimenticanza. Invece è studiato appositamente a sollecitare la risposta ad un indirizzo diverso da quello riportato che coinciderà però con il mittente di una casella Pec compromessa, controllata dall’attaccante.

In ultimo, il corpo dell’email truffaldina contiene al suo interno un richiamo ad una risorsa remota: è un meccanismo di tracking che si abilita all’apertura dell’email e punta al dominio pattayajcb[.]com

Screenshot del tentativo di Phishing (Fonte Cert-PA)
Screenshot del tentativo di Phishing (Fonte Cert-PA)

Una nota più recente sempre di Cert-PA , negli ultimi giorni del mese che si è appena chiuso, riporta notizie sulla riattivazione della campagna: le email malevole, come le precedenti, presentano ancora come oggetto Invio File <xxxxxxxx> ma menzionano un allegato dal nome diverso ITYYYYYYYYYY_1jgzs.XML.p7m che comunque non compare come file all’interno dell’email. E il contenuto del corpo dell’email, in questo secondo tentativo, è cambiato rispetto al precedente messaggio ma contiene sempre al suo interno un richiamo ad una risorsa remota mediante meccanismo di pixel tracking che punta al seguente dominio (anch’esso cambiato) dreambabyyorkies[.]com.

La raccomandazione quindi è quella di sempre, e cioè di prestare molta attenzione, anche sulla Pec, alle email provenienti da utenti che non si conoscono, o sospette, tanto più quando viene richiesto di modificare l’indirizzo di recapito per le comunicazioni successive con il Sistema di Interscambio.

Ricordiamo infatto che salvo specifici filtri sulla ricezione è possibile scrivere sulle caselle Pec da qualsivoglia indirizzo e quindi la casella Pec, di suo, non è affatto sinonimo di sicurezza maggiore.

Secondo le indagini effettuate da Cert-PA, in collaborazione con i gestori Pec, risultano essere state sfruttati circa 500 account di Pec compromesse per un totale di 265mila messaggi di phishing inviati.

Il ransomware veicolato dalle Pec

Cert-PA infine rileva il vasto utilizzo di caselle Pec, precedentemente compromesse, per veicolare il malware Ftcode che nelle scorse settimane è stato utilizzato in diversi attacchi verso strutture della PA o caselle di aziende e professionisti.

La peculiarità rilevata nella variante odierna è che, oltre agire come ransomware avviando la cifratura dei dati degli utenti, il malware attiva una serie di funzionalità info-stealer ed in particolare tenta di catturare le credenziali immagazzinate nei comuni software come i browser Firefox, Chrome, e IE, i client di posta Outlook e Thunderbird

Gli attaccanti in questo modo possono recuperare informazioni che potranno essere riutilizzate per scopi illeciti ma anche monetizzare tramite la richiesta di riscatto per decifrare i file criptati.

La campagna osservata è valutata come particolarmente insidiosa perché utilizza caselle Pec mittenti sempre diverse oltre a innumerevoli oggetti che fanno anche riferimento a comunicazioni pregresse.

© RIPRODUZIONE RISERVATA