Stanno circolando in rete false e-mail, inviate da un indirizzo di posta elettronica
apparentemente riconducibile all’Istituto INPS e recanti la firma di una figura dirigenziale.
Nella e-mail si comunica al contribuente che una sua domanda non è stata accolta per
mancanza di documentazione e la si invita a prendere visione del carteggio completo contenuto nell’archivio allegato alla stessa.
Analisi di un campione
Il file allegato un archivio .zip contiene in realtà un codice malevolo, che una volta eseguito, installa nel sistema il malware Ursnif/Gozi già visto dagli esperti del CERT-AgID ad inizio anno sfruttare diversi temi simili e causare danni alle malcapitate vittime rubando ed eliminando dati o sottraendo informazioni personali.
La conferma viene anche dal ricercatore di malware JAMESWT_MHT che ne ha intercettati diversi campioni.
Si propone di seguito un suo tweet relativo ad un campione veicolato tramite l’allegato email “metod33.zip” (SHA256 01c4168091df5b4df40719edf423143684eb96f27edddc8bf0881275568fe78a).
E’ importante notare:
- che la catena d’infezione prevede l’esecuzione di un file HTA (HTml Application) che usa i processi attendibili “cmd.exe” e “certutil.exe” per contattare l’URL “https://statalink[.top/readme.txt” e scaricare la DLL, forzando la legittimità di una “URL cache entries” in realtà arbitraria;
- l’appartenenza a domini russi dei server C2 impiegati.
Ecco il testo integrale della falsa e-mail, scritta in un discreto italiano e che presenta tutti gli elementi tipici dell’ingegneria sociale: impersonificazione del mittente, uso dell’autorità, urgenza e concomitante pressione psicologica.
“Gentile contribuente,
Le notifichiamo che non è stata accolta la sua domanda corrisposta per il seguente motivo :
Lei non ha fornito la documentazione che è stata richiesta e, di conseguenza, non è stato possibile procedere all’accertamento del diritto alla prestazione.
La informiamo oltre a tutto che, nel caso in cui volesse contrastare il presente provvedimento, potrà presentare un reclamo amministrativo solamente on line tramite l’apposita sezione sul portale INPS.
L’eventuale azione giudiziaria contro il presente provvedimento dovrà essere notificata presso questa agenzia, avendo il rappresentante legale dell’istituto eletto a tal fine domicilio speciale presso l’agenzia stessa, ai sensi dell’art. 48 del codice penale e per gli effetti di cui all’alt. 30 del codice di procedura penale.
La preghiamo di prendere visione della documentazione esaustiva riguardante la sua richiesta e il provvedimento, entrambi presenti nell’archivio allegato e scaricabile nella presente email. L’ufficio è a sua completa disposizione per qualunque informazione o chiarimento.
Il responsabile di unità operativa…”
I consigli dell’INPS
Queste tipologie di e-mail, anche se contengono il logo e nominativi di personale dell’Istituto e utilizzano un linguaggio verosimile, non sono ovviamente inviate da INPS.
L’Istituto pertanto invita i propri utenti a diffidare di tali comunicazioni, in quanto finalizzate esclusivamente a sottrarre fraudolentemente dati anagrafici o relativi a conti correnti e carte di credito.
“La nostra raccomandazione è:
- non aprire mai questi allegati,
- verificare sul sito INPS nel vademecum Attenzione alle truffe aggiornato periodicamente con le segnalazioni, l’eventuale presenza di comunicazioni analoghe.” , si legge in un comunicato .
Pertanto per ogni necessità di assistenza è sempre consigliabile rivolgersi direttamente alle sedi dell’Istituto tramite i canali ufficiali.