Articoli

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

Continua a leggere

Dal 21 Luglio è in corso una campagna di Phishing ai danni di Vodafone Italia, gli utenti vengono ingannati da una promozione molto invitante a ricaricare 20euro il proprio numero di cellulare per ottenere in cambio dall’operatore il traffico internet illimitato per 6 mesi! Visto il periodo estivo molti utenti sono interessati ad aumentare il traffico internet incluso nella propria offerta per poter condividere in totale libertà sui Social Network le foto o i video delle vacanze!

I Phisher sfruttano il desiderio dei clienti di aver maggior traffico internet per attrarli in trappola, realmente ricaricando 20euro non si ottiene traffico internet illimitato e neanche 20euro di traffico! Bensì si stanno fornendo i dati della propria Carta di Credito ad un team di criminali! Carta di Credito che verrà sfruttata per effettuare addebiti illeciti decisamente superiori ai 20euro.

L’eMail, che vi mostriamo di seguito, è scritta in un Italiano corretto anche se la grafica e l’allineamento del testo lasciano a desiderare. Da sottolineare inoltre che per rafforzare la veridicità del messaggio citano il programma a premi Vodafone You, un programma dismesso da qualche anno ma certamente non tutti gli utenti sono così attenti nel seguire tutte le novità dell’operatore telefonico.

La prima pagina del kit di Phishing è molto similare alla eMail ma va a rimarcare graficamente i “vantaggi” che si ottengono con una ricarica, ovvero traffico illimitato per 6 mesi!

Simulando l’inserimento dei dati è possibile notare che il Phisher obbliga l’utente a digitare i dati della Carta di Credito, nonostante graficamente vediamo l’opzione di pagamento tramite PayPal realmente tale possibilità è inibita. Successivamente alla digitazione dei propri dati viene mostrata una pagina di riepilogo in cui viene riportato il taglio della ricarica selezionato, il numero di cellulare e i dati della Carta di Credito.

Invitiamo come sempre gli utenti alla massima attenzione, questo attacco di Phishing seppur fatto bene sfrutta un dominio facilmente identificabile come falso.

Durante lo scorso week-end abbiamo rilevato un invio massivo di eMail contenenti la comunicazione di una Falsa Fattura dell’operatore telefonico Vodafone, il messaggio richiedeva il saldo della fattura AG20887715 intestata a Luigina Canale di un importo complessivo di 61.18euro. Il layout rispetta quasi fedelmente quello sfruttato dall’operatore per inviare la legittima comunicazione.

Selezionando il pulsante con sfondo rosso riportante la scritta “Vai alla fattura” l’utente scarica attraverso il sito https://intrumnl[.]000webhostapp[.]com un archivio ZIP contenente un file JavaScript denominato fattura n. AG20887715.js, tale script una volta eseguito effettua il download del file encrypted.exe e lo esegue nel sistema.

Il file JavaScript è opportunamente offuscato per impedire ad un Antivirus l’immediato riconoscimento di una minaccia come potete visualizzare dal seguente screenshot:

Infine l’esecuzione dell’eseguibile encrypted.exe permette al Cerber Ransomware ci cifrare i documenti e i file dell’utente nel computer, richiedendo un cospicuo riscatto per riottenere i propri file originali.

 

Il sample del malware è disponibile su Hybrid Analysis, su Virus Total è invece disponibile la scansione in cui si evince che solo 12 Antivirus su 55 rilevano una minaccia del file eseguibile.