📧👮 Mail PEC di Pishing/Scam, Attenzione ai Virus!

Gli hacker non si fermano davvero davanti a nulla: la scorsa settimana ho ricevuto una mail PEC da un certo “riggiogiovanni” che mi ricordava di dover pagare una fattura e me la allegava in formato elettronico.

Il file che ho ricevuto era un virus! Vediamo come accorgersi di questi attacchi e come proteggersi:

Mi sono già occupato di Pishing e di Scam nel passato, questa volta si tratta di un mix dei due fenomeni: nella mail erano presenti i dati veri della mia partita IVA, questo per dare un tratto “ufficiale” alla mail.

La mail che ho ricevuto

Ecco lo screen della mail che ho ricevuto:

Il testo della mail per una più facile consultazione:

Spett.le Fribbynetwork *****,
Città (PROVINCIA) Indirizzo Completo
Codice Fiscale

da controlli risulta ancora insoluta la nostra fattura, che Vi allego, in formato elettronico. Ti chiedo la gentilezza di controllare e magari ci provvedere quanto prima.
Cordiali Saluti

Il contenuto dei messaggi elettronici spediti da questa mail è riservato ed è rivolto esclusivamente al/ai destinatario/i identificato/i. Se non siete il destinatario, vi invitiamo a cancellare il messaggio ed eventuali allegati dandocene immediatamente comunicazione scritta a mezzo posta elettronica. E’ inoltre pregato di rinviarlo immediatamente al mittente distruggendone l’originale.

A prima vista potrebbe sembrare un messaggio autentico, infatti ho pensato che si trattasse semplicemente un errore, sicuramente non dovevo pagare una fattura a questa persona, ma poi ho notato tutti i problemi:

1- Aveva tutti i dati corretti della partita IVA, ma si trattava dei soli dati che è possibile ottenere dai pubblici registri.
Ogni mese ricevo numerose riviste di prodotti di elettronica/informatica che vengono inviate utilizzando proprio questi dati pubblici, senza che vi sia stata alcuna autorizzazione da parte mia!

2- Mancavano informazioni come il numero di telefono o la mail pubblica, cose che evidentemente non potevano conoscere non essendo nostri fornitori/clienti.

3- Non vi è indicato che tipo di fattura si tratti e per quali servizi è stata emessa, così come manca anche l’importo da pagare! Conoscete un creditore che non si premunirebbe di indicare chiaramente tutti questi dati? Magari aggiungendo inoltre il metodo di pagamento per essere saldata?

4- E’ presente un allegato .zip “Allegato_doc_CODICEFISCALE.zip”, perché usare questo formato e non mandare direttamente un PDF con la fattura da pagare?

Arrivato a questo punto ero praticamente certo che si trattasse di una truffa di qualche tipo, ma non avevo ancora aperto l’allegato per controllare di cosa si trattasse esattamente.

Il virus nascosto negli allegati

All’interno dello zip sono presenti un file “nuovo_documento.txt” vuoto, ed un altro file zip con lo stesso nome del precedente: “_Allegato_doc_CODICEFISCALE.zip”:

Nel secondo zip sono presenti ancora una volta 2 diversi file: un finto xml (aprendolo si riceve un messaggio di errore ed ispezionandolo con un programma che può vederne il codice risultano unicamente caratteri senza una vera formattazione, certamente non un file xml correttamente formattato) ed un file .vbs:

I due file aperti per visualizzarne il codice:

Il codice del file .xml

La cosa che mi ha colpito di più è stato proprio il file .vbs ; si tratta infatti di un formato usato per creare script per Windows, cioè piccoli programmi che eseguono operazioni sul computer. Non si tratta certamente di una fattura! :)

Per curiosità ho deciso di aprirlo per vederne il codice:

Il codice del file .vbs con i diversi comandi per eseguire operazioni

Non una fattura, poco ma sicuro!

Il virus viene rilevato da Windows Defender come “Trojan:VBS/Obfuse.RV!MTB”.

Cosa fare con file sospetti ricevuti tramite mail

Nel caso vi imbatteste in file di questo tipo, non avviateli per nessun motivo!

La possibilità che si tratti di virus/malware è praticamente al 100%, anzi, per maggiore sicurezza consiglio di creare un finto file .vbs (vi basta creare un txt e quindi cambiare l’estensione) e tramite il tasto destro del mouse selezionare “apri con” e settare che venga aperto con WordPad o Notepad++; così facendo che anche se per sbaglio doveste cliccare su uno di questi file non verrebbero eseguiti, ma semplicemente aperti come file di testo.

Evitate di aprire tutti file che solitamente non dovrebbero essere inviati tramite mail, parlo ad esempio di .exe, .bat e così via.

Se conoscente il mittente, chiedetegli come mai vi ha inviato queste cose, potrebbe essere stato hackerato e stare inconsapevolmente aiutando a diffondere virus a tutti i suoi contatti.

In ogni caso prestate sempre la massima attenzione! Non aprite mai con troppa facilità gli allegati, neppure da persone che conoscete!