Truffe / malware mascherate Enel spa

[filips]

Qualcuno conosce questo sito: http://auroraptcstore.com/?

Vorrei segnalarlo e ottenere informazioni precise in quanto ritengo svolga attività sospetta.

A una persona di mia conoscenza è arrivata una mail intestata Enel spa, ma i dati cliente inseriti risultavano del tutto inconsistenti rispetto a quella persona.

Analizzando un momento i link contenuti ho potuto constatare che portavano tutti a un nodo del sito che ho indicato inizialmente, nel quale poi si doveva scaricare un file ZIP contenente un SCR per avere dettagli su un importo esagerato segnalato nella mail (evidentemente per incuriosire l utente e fargli fare il download).

Da notare che seguendo i link (che puntano a url comune), si nota inizialmente l url originale nel campo del browser (cioè http://auroraptcsrore ecc.) che poi viene tramutata in http://italia*bolletta**.com/qx6yz8c...haG9vLmNvbQ==; la cosa curiosa (probabilmente per dare un ulteriore tocco di autenticità alla pagina) è che tutti i link di tale pagina truccata da cui si dovrebbe effettuare il download, portano a url https://www.enelservizioelettrico.it/ ecc. coerenti con le etichette dei link, quindi certamente corrette (e sicure) rispetto all'ente Enel di riferimento.

Enel ha confermato l inesistenza di tale invio e anche del link succitato.

Verificato il file con VirusTotal, è emerso che in data odierna era già stato controllato e un AV su 56 aveva dato esito positivo. Al controllo ulteriore che ho effettuato la lista degli AV che segnalavano positivo era aumentata a 3. Google Safebrowsing non lo indica come sospetto, ma solo perché non lo ha mai testato; idem Nortorn, non ne conosce ubicazione e esistenza.

Rispondedo alla mail si dovrebbe contattare servizioelettrico@politicalservice.net, mail inesistente ad una ricerca con Google.

Il contenuto della mail è del tipo:

Enel ENEL SERVIZIO ELETTRICO - Servizio di Maggior Tutela DATI CLIENTE

nome cognome utente BOLLETTA PER LA FORNITURA DI ENERGIA ELETTRICA N. fattura 729500036 del 31/07/2015 Bimestre giugno - luglio 2015 Totale da pagare entro il 15/08/2015: euro 754,48 Come da lei richiesto, sar`a addebitato nel giorno esatto della scadenza su conto corrente presso: 615855751994 Clicca qui per scaricare DATI FORNITURARIEPILOGO IMPORTI FATTURATID Politica sulla privacy Enel Green Power tratta tutti i dati personali dei propri clienti fruitori dei servizi offerti nel portale nel pieno rispetto di quanto previsto dalla normativa nazionale italiana in materia di privacy e, in particolare del D. Lgs. 196/03. Ove l'accesso a particolari servizi venga subordinato alla registrazione previa comunicazione di dati personali, secondo quanto comunicato con l'informativa data al momento della sottoscrizione del servizio, l'acquisizione dei dati che potranno essere richiesti `e il presupposto indispensabile per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati nelle condizioni generali di contratto e per tutte le conseguenti operazioni di interesse del cliente; Enel Green Power conserver`a i dati tecnici relativi alle connessioni (log) per consentire i controlli di sicurezza richiesti dalla legge e al fine di migliorare la qualit`a dei servizi offerti e personalizzarli in relazione alle esigenze del cliente; in relazione ad alcuni specifici servizi e come precisato nelle relative Condizioni Generali i dati inseriti potranno essere utilizzati da Enel Green Power anche al fine di inviare periodicamente messaggi di posta elettronica contenenti pubblicit`a, comunicazioni relative a nuove iniziative e materiale promozionale, annunci interni, iniziative promozionali, comunicazioni commerciali relative ai servizi offerti o a servizi similari.I testi, le informazioni, gli altri dati pubblicati in questo sito nonch'e i link ad altri siti presenti sul web hanno esclusivamente scopo informativo e non assumono alcun carattere di ufficialit`a. Enel non assume alcuna responsabilit`a per eventuali errori od omissioni di qualsiasi tipo e per qualunque tipo di danno diretto, indiretto o accidentale derivante dalla lettura o dall’impiego delle informazioni pubblicate, o di qualsiasi forma di contenuto presente nel sito o per l’accesso o l’uso del materiale contenuto in altri siti clicca qui per cancellare l'iscrizione (usubscribe)

Lo ZIP download alla pagina linkata dalla mail è "bolletta_291281.zip" che comprime l eseguibile "bolletta_291281.scr"

[amvinfe]

Attenzione a URLs dubbi, evitate di renderli cliccabili.
Il sito http://auroraptcstore.com in questo caso non c'entra nulla, anche se le falle presenti all'interno del loro sito hanno permesso di essere "bucato".

[filips]

@amvinfe: allora viene utilizzato per veicolare codice infetto? quello che non capisco è come gli attaccanti abbiano potuto acquisire l email, compreso il nome e cognome della persona della casella di posta.

[amvinfe]

Si viene utilizzato per veicolare pagine infette.
Riguardo le email e i nomi provengono sicuramente da macchine infette.

[filips]

Riguardo le email e i nomi provengono sicuramente da macchine infette.

In passato questo utente usava Windows, ma ora da poco più di un anno gli ho configurato un accesso guest su Linux. Questo sistema credo sia esente da elementi virali, ma è certo che Windows ne aveva parecchi. Inoltre usa la casella anche su Android attualmente, ma anche qui non credo ci siano problemi. Secondo te la causa è da attribuire a Windows? Ammetto che il file infetto del download che ho segnalato è per Windows, ma come è possibile attribuire a Windows l'intercettazione dei dati personali visto che da oltre un anno non viene più utilizzato?