Se ricevi questa mail dall’Agenzia delle Entrate sei davanti a una truffa: come riconoscerla
"Comunicazione importante dall'Agenzia delle Entrate". Se una mail con un'intestazione del genere finisce nella casella postale di una persona non troppo esperta, potrebbe sembrare una comunicazione ufficiale e quindi affidabile. Si tratta invece dell‘ennesima campagna malware, questa volta rivolta contro le aziende italiane, che sfrutta il nome dell'Agenzia delle Entrate come esca per ingannare i destinatari.
La campagna di phishing è stata rilevata e segnalata da Proofpoint, azienda specializzata nella sicurezza informatica delle aziende, dopo che il 14 febbraio 2024 sono partire le prime mail incriminate ai dipendenti di aziende italiane. È stata attribuita al gruppo TA544, con l’obiettivo di far scaricare il malware Danabot tramite l'URL presente nel testo delle mail, ma nascosto da un link ingannevole.
Cosa c'è scritto nelle mail-truffa
"Dopo aver effettuato un'attenta analisi dei dati e dei saldi relativi alla Comunicazione delle liquidazioni periodiche Iva che ha presentato per il trimestre 2024, abbiamo individuato alcune incongruenze". Inizia così il testo della mail, per poi proseguire con un link ("SCARICA IL DOCUMENTO") che promette di rimandare a un allegato ufficiale dell'Agenzia delle Entrate in merito al profilo fiscale dell'azienda in questione.
Invece, se aperto da un IP italiano, il link scarica DanaBot, un malware progettato “per la raccolta di informazioni, il monitoraggio remoto e per stabilire persistenza" con il sistema infettato, come spiegano gli esperti di Proofpoint.
Come funziona il malware Danabot
Gli esperti che hanno scovato la campagna spiegano che questo malware non è spesso utilizzato nelle campagne mail e questa sarebbe la prima volta che il gruppo TA544 lo utilizza in un tentativo di phishing tramite mail. Come spiegato da Proofpoint in occasione di una precedente campagna ad opera di TA544 rivolta agli utenti italiani, ma quella volta attraverso mail a contenuto sentimentale, dietro questa sigla misteriosa si nasconde un "attore di minacce cyber che distribuisce soprattutto malware bancario, rivolgendosi quasi esclusivamente ad aziende italiane".