La campagna di phishing dell'Agenzia delle Entrate e il ritorno del malware Ursnif

Tra gli ultimi eclatanti episodi di phishing, figura la massiccia campagna di malspam diffusa a nome dell’Agenzia delle Entrate a cavallo tra Dicembre 2022 e Gennaio 2023.

Pare che le mail fraudolente veicolassero un trojan bancario tra i più insidiosi: l’infostealer Ursnif/Gozi.

In questo articolo approfondiamo i dettagli sulla vicenda, facendo luce anche sulle caratteristiche tecniche e il modus operandi del Trojan.

Finta e-mail dell’Agenzia delle Entrate: i dettagli della vicenda
Cos’è e come agisce il trojan Urznif/Gozi
Precedenti campagne di malspam Urznif ai danni di Mise e INPS
Come riconoscere e difendersi dalle e-mail di phishing
Conclusioni

Finta e-mail dell’Agenzia delle Entrate: i dettagli della vicenda

Tra Dicembre 2022 e Gennaio 2023 è stata diffusa una massiccia campagna di phishing con e-mail fintamente intestate all’Agenzia delle Entrate.

Come riportato sul portale ufficiale dell’ente, l’oggetto delle comunicazioni ha periodicamente cambiato volto, incentrandosi rispettivamente su:

presunte incoerenze nei versamenti (dell’IVA secondo il corpo del messaggio, dell’Imposta di bollo secondo l’oggetto)
finte disposizioni in materia di efficientamento energetico

Al di là dei pretesti specifici, l’intento degli hacker era quello di instillare nei contribuenti un sottile senso di urgenza che li spingesse a scaricare gli allegati dannosi o a cliccare sui link infetti presenti all’interno dei messaggi.

L’episodio è riconducibile alla campagna di diffusione del malware Ursnif, noto anche come Gozi, trojan bancario tra i più longevi e diffusi sul territorio nazionale.

In entrambi i casi, le incoerenze grammaticali, linguistiche e sintattiche erano assai evidenti, con la presenza di doppi spazi tra le parole e i segni di punteggiatura o locuzioni estranee al lessico dell’Agenzia (“e-mail procreata automaticamente”, “Gentile cliente” anziché “Gentile Contribuente”, ecc.).

Altro campanello d’allarme, anche se meno evidente ai non esperti, l’indirizzo del mittente, facente capo a domini ubicati al di fuori dei confini nazionali.

Cos’è e come agisce il trojan Urznif/Gozi

Il codice sorgente di Ursnif è noto sin dal 2015, anno in cui venne pubblicato per la prima volta su GitHub. Ciò ha consentito agli hacker di svilupparne funzionalità e aggiornamenti in maniera totalmente collaborativa e open source.

Così facendo, il malware è stato reso sempre più adattabile e pericoloso, conferendogli longevità e diffusione capillare.

Basti pensare che secondo il Global Threat Index, a marzo 2021, risultava in pole position in Italia, con il 76,11% delle aziende colpite su territorio nazionale, nonché tra le 10 minacce più diffuse e pericolose al mondo.

Si tratta sostanzialmente di un trojan bancario con capacità di infostealer, diffuso attraverso campagne di phishing contenenti file Office (solitamente Word) infetti.

Una particolarità legata a questo aspetto è che gli hacker fingono che il documento sia stato creato in una versione precedente di Microsoft Office.

In tal modo, riescono a convincere l’utente a scaricare le macro dannose contenute negli allegati.

Vediamo, quindi, quali sono le principali caratteristiche tecniche di Gozi:

Persistenza: una volta sul sistema, il Trojan cerca di garantire la sua persistenza, ovvero di rimanere attivo anche dopo il riavvio del computer. Ciò può avvenire tramite l’aggiunta di voci nel registro di sistema o l’inserimento di file di avvio automatico
Controllo remoto: Ursnif/Gozi stabilisce una connessione con un server di comando e controllo (C2) gestito dagli attaccanti. Questo server permette agli aggressori di inviare comandi e ricevere informazioni dal malware sul computer infetto
Monitoraggio delle attività: il Trojan monitora le attività dell’utente sul computer infetto. Può registrare le digitazioni, acquisire screenshot, monitorare le comunicazioni di rete e intercettare informazioni sensibili come dati bancari e credenziali di accesso
Rubare dati: Ursnif cerca di identificare e rubare informazioni sensibili. Può cercare informazioni specifiche come numeri di carta di credito, dati di accesso a servizi bancari online o informazioni personali. I dati raccolti vengono quindi compressi e inviati al server di comando e controllo
Aggiornamenti e nuove istruzioni: il malware può ricevere aggiornamenti e nuove istruzioni dal server di comando e controllo per adattarsi alle contromisure di sicurezza e migliorare le sue capacità di infiltrazione e raccolta di dati

Precedenti campagne di malspam Urznif ai danni di Mise e INPS

Quella ai danni dell’Agenzia delle Entrate, non è di certo la prima campagna phishing ai danni di un ente pubblico nazionale.

Prima ancora dell’AE, erano finiti nel mirino anche il Ministero per lo Sviluppo Economico e l’INPS, avvenute tra febbraio 2021 e la fine del 2020.

In quei casi, gli espedienti truffaldini facevano leva rispettivamente su:

riferimenti ad agevolazioni fiscali e aiuti alle imprese (con oggetto “Circolare 10-feb-2021”)
mentre nel secondo caso, l’oggetto della email era una variabile tra “Informazione Istituto Sociale” o “Nazionale Previdenza Sociale”

In tali circostanze, in particolare, pare che l’espediente per lo scaricamento delle macro dannose fosse l’inserimento di una password – comunicata all’interno del messaggio stesso – da inserire all’apertura del file Office infetto.

Questa rappresenta un’elementare tecnica di elusione del rilevamento anti-malware, che permette anche di far visualizzare un pop-up informativo, il quale assicura che il documento è stato scansionato ed è privo di virus.

Come riconoscere e difendersi dalle e-mail di phishing

Considerata la capillare diffusione delle truffe di phishing, elenchiamo qui alcuni semplici accorgimenti per arginare il pericolo di truffa e compromissione dei propri dati e dispositivi:

Verifica l’indirizzo email del mittente: spesso i truffatori utilizzano indirizzi simili a quelli delle organizzazioni legittime, ma con piccole variazioni o errori ortografici. Fai attenzione anche agli indirizzi email generici o sospetti
Controlla l’ortografia e la grammatica: le e-mail di phishing spesso contengono errori ortografici, grammaticali o frasi strane. Ricorda che le organizzazioni legittime tendono ad avere una comunicazione più accurata e professionale.
Sospetto URL: prima di cliccare su un link all’interno di un’email, posiziona il cursore sopra di esso (senza cliccare) per visualizzare l’URL completo nella barra di stato del tuo client di posta elettronica. Assicurati che l’URL sia coerente con il contenuto del messaggio e che non presenti caratteri strani o indirizzi web diversi da quelli ufficiali dell’organizzazione
Richieste di informazioni personali o finanziarie: le e-mail di phishing spesso cercano di ottenere informazioni sensibili come password, numeri di carta di credito o informazioni bancarie. Le organizzazioni legittime non chiedono mai tali informazioni tramite e-mail non sicure. Fai attenzione a eventuali richieste di questo tipo e non fornire mai informazioni personali o finanziarie tramite e-mail
Leva psicologica dell’urgenza: le e-mail di phishing spesso cercano di creare un senso di urgenza o minacciano conseguenze se non si prendono determinate azioni. Questo è un segnale di allarme. Le organizzazioni legittime non utilizzano tattiche di questo genere nelle loro comunicazioni.
Segnala le e-mail sospette: se ricevi una e-mail di phishing, segnala immediatamente il messaggio come phishing al tuo provider di posta elettronica e all’organizzazione impersonata
Mantieni il tuo software aggiornato: assicurati di avere un buon software antivirus/antimalware installato e aggiornato sul tuo computer. Le soluzioni di sicurezza possono rilevare e bloccare molte e-mail di phishing prima che raggiungano la tua casella di posta

Conclusioni

Come abbiamo visto, uno degli espedienti principali degli hacker è sfruttare l’autorevolezza di enti e organizzazioni per inoltrare e-mail e messaggi di phishing altamente verosimili.

Quello che bisogna tenere a mente è che tali enti non richiedono mai di inoltrare informazioni di identificazione personale (PII) tramite canali non sicuri, men che meno di scaricare file o cliccare su link sospetti.

Se si nutrono dubbi sull’attendibilità delle comunicazioni, premurarsi di controllare attentamente l’ortografia e la sintassi del messaggio, prestando particolare attenzione agli URL dei link e agli indirizzi e-mail dei mittenti.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.