Il CERT-AGID ha scoperto un sofisticato tentativo di frode che coinvolge una falsa pagina dell’Agenzia delle Entrate, ospitata su un dominio italiano precedentemente compromesso. L’obiettivo è infettare le vittime con un malware di tipo keylogger.
Quando si visita la pagina, automaticamente si avvia il download di un file compresso chiamato “MODULO_RIMBORSO_AGENZIA_ENTRATE.PDF.ZIP”, contenente un eseguibile scritto in VB6. Questo file, denominato VBLogger, ha la funzione di scaricare un ulteriore componente tramite FTP su Altervista. Quest’ultimo componente, anch’esso sviluppato in VB6, è dotato di funzionalità keylogger.
Le credenziali FTP, codificate direttamente nel codice, sono facilmente rilevabili durante il debug e vengono scritte su un file di testo rinominato in .dll, quindi trasferite tramite lo strumento di Windows FTP con il consenso dell’utente.
Successivamente, il malware recupera un file chiamato “manual.pdf” dal server Altervista, che in realtà è un eseguibile VB6 rinominato in “ModuloLog.exe” una volta trasferito al sistema della vittima. Dopo garantire la persistenza tramite modifiche nel registro di sistema, il malware acquisisce i tasti digitati e il testo dalla clipboard.
Le informazioni acquisite vengono memorizzate in un file di testo e inviate al C2 su Altervista tramite FTP.
Ulteriori indagini sul dominio compromesso hanno rivelato l’esistenza di una pagina di phishing mirata agli utenti di Siatel v2.0 – PuntoFisco dell’Agenzia delle Entrate, identica a quella individuata il mese scorso.
La specificità del malware, l’uso di un dominio italiano come dropurl, la scelta di Altervista come server C2 e la profonda conoscenza dei servizi dell’Agenzia delle Entrate, suggeriscono che gli autori della campagna siano probabilmente di nazionalità italiana.
Anche se il file eseguibile recuperato dal server “manual.pdf” ha solo funzionalità di keylogger, è evidente che potrebbe essere sostituito con un nuovo malware dotato di capacità dannose aggiuntive.
Per agevolare le azioni di contrasto della campagna fraudolenta, il CERT-AGID ha condiviso gli Indicatori di Compromissione (IoC) identificati, già condivisi con le PA accreditate al Flusso IoC.
