Roma – Il temibile malware Gootkit è tornato a colpire le caselle di posta elettronica pec italiane. A scoprire e denunciare in primis la campagna malspam è stato il CERT della pubblica amministrazione. Obiettivo dei cyber-criminali è stato quello di inoltrare all’intera rubrica della vittima messaggi con un allegato malevolo contenente un file denominato “Eseguito Bonifico Europeo” o “F24 Ordinario” con il codice da cui poi verrà scaricato il trojan bancario. Gli esperti di sicurezza informatica di Yoroi hanno associato gli attacchi degli ultimi giorni alla campagna Gootkit, dove email fraudolente simulano scambi di informazioni da parte di ipotetici fornitori di servizio per via degli imminenti adeguamenti in tema di fatturazione elettronica, obbligatoria dal prossimo anno. Le aggressioni informatiche sono veicolate da un gruppo operante negli ambienti del cybercrime, specializzato nella preparazione di comunicazioni email fraudolente. Le tecniche utilizzate nelle azioni di malspam hanno l’obiettivo di tentare di evadere i sistemi di protezione perimetrali e ingannare le utenze. Ciò al fine di aprire documenti e link remoti. I messaggi malevoli si manifestano con più tematiche, ma sono accomunati dalla presenza di collegamenti volti allo scaricamento di ipotetici documenti. Gli allegati, puntano a risorse esterne rappresentate da una serie di domini, utilizzati per portare la vittima a eseguire lo script e a scaricare il malware, scoperto per la prima volta nel 2014.

Il CNAIPIC della Polizia di Stato sta conducendo indagini ad hoc per svelare i possibili autori dell’attacco. Le vittime sono per lo più soggetti privati e pubblici. In particolare appartenenti alle istituzioni che fanno parte del Comitato Interministeriale per la Sicurezza della Repubblica (CISR). Cioè Presidenza del Consiglio, Autorità Delegata e i ministeri di Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico e Giustizia. Il vice direttore del Dipartimento Informazioni per la Sicurezza (DIS), Roberto Baldoni, ha spiegato che è proprio quest’ultimo dicastero a essere stato coinvolto in maniera più visibile nell’attacco informatico. Il cyber attacco avrebbe coinvolto circa 98 mila caselle di posta di enti della pubblica amministrazione CISR sulle 500 mila totali.