⚠️ MALWARE VIA PEC ⚠️

Falso messaggio PEC che simula la trasmissione di una fattura elettronica proveniente da un reale indirizzo certificato @Arubait pec.it con allegato malevolo. Massima attenzione!
#malware #PEC #fatturaelettronica

Dettagli ⤵️ 1/

- Il mittente è un reale indirizzo pec.it: il messaggio arriva senza anomalie e la firma risulta valida;
- l’oggetto e il testo riprendono (quasi) esattamente quelli delle PEC del SDI;
- in allegato viene trasmesso un file .zip contenente un .pdf e un .vbs;
2/

- è presente la dicitura “mail priva di virus - avast.com” con tanto di logo caricato come contenuto remoto dal sito Avast legittimo.
Il messaggio PEC è molto simile a quello con cui vengono effettivamente trasmesse le fatture, salvo alcuni dettagli (v. foto).
3/

Prima ancora di analizzare gli allegati, vado in allerta:
- non conosco il mittente;
- è molto raro che un messaggio PEC abbia contenuti remoti.
D’altra parte, però, è firmato dal gestore, il testo è in italiano corretto e verosimile, il contenuto remoto è sul sito Avast AV.
4/

Mi viene in mente che avendo registrato il “codice destinatario” sul SDI non dovrebbero arrivarmi fatture via PEC anche se indicata dal mittente.
In 30 secondi chiedo conferma al commercialista. È così.
Ormai sono sicuro al 98% che si tratta di un messaggio malevolo.
5/

L’analisi dei file contenuti nel .zip fa il 2% che rimane: un .pdf (solo nell’estensione) e uno script Visual Basic. Su VirusTotal, ieri sera, 3/56.
Qualcuno vuole darci un’occhiata?
(cc/ @Marco_Ramilli @LucaSambucci @D3LabIT @evaristegal0is @Gabry89 @raffutz @0xCookie)
6/

➡️ Non è mai troppo tardi per:

- leggere con calma le e-mail da PC;
- valutare mittente/oggetto/corpo;
- fare attenzione agli allegati;
- diffidare dei claim “virus free”;
- bloccare i contenuti remoti;
- usare password sicure per evitare di essere i prossimi mittenti.
7/7

@Marco_Ramilli @LucaSambucci @D3LabIT @evaristegal0is @Gabry89 @raffutz @0xCookie nessuno vuole sbirciare nel vbs offuscato? :-)