Seleziona Pagina

widget-pubblicita-sicurezza-informatica-otts
Assistenza informatica otts
ENEL comunica truffa via email

ENEL COMUNICA: Pericolosa truffa via email

da | 5 Mar 2021 | Truffe

In questo articolo andiamo ad analizzare una truffa targata Enel, non è il solito tentativo di phishing, questa volta i cyber criminali hanno dato il meglio per realizzarla con tanto di dominio creato appositamente per dare una certa autorevolezza alla email.

Contatto via eMail da Enel Comunica

Vediamo subito il contatto fasullo da parte di Enel Comunica arrivato tramite eMail:

noreply.enelenergia@enel-comunica.it

no.reply.enelenergia@pec.enel.it

enel-comunica-pericolosa-truffa-via-email

L’ email arriva come un sollecito di pagamento, molto sagace l’ideatore di questo messaggio, in questo modo ci facciamo prendere dalla rabbia o dallo sconforto per l’ennesima pessima gestione amministrativa da parte di un ente e andiamo a vedere il motivo del sollecito.
In allegato un file .xlsm il classico formato di excel contenente macro, chiaro segnale di truffa/malware in arrivo.

Analisi allegato in LAB

Analizziamo l’allegato di enel comunica in una vm windows 10 aggiornata al giorno di stesura di questo articolo, appena cliccato sul download del file excel il buon microsoft defender ci mette subito in guardia:

enel-comunica-pericolosa-truffa-via-email-3

Il file contiene un Trojan noto Ursnif, questo è quanto riportato dal team di Avast:


Ursnif è un malware che ha avuto inizio nel 2007 come Trojan bancario, ma si è evoluto nel corso degli anni ed è rimasto una minaccia costante e persistente.
Ursnif ha preso di mira utenti in molti paesi in tutto il mondo nel corso degli anni, spesso diffondendosi utilizzando email in lingua madre. Tra i paesi dove Ursnif ha avuto un impatto significativo c’è l’Italia.
Analizzando le informazioni, i nostri ricercatori hanno trovato informazioni che potrebbero essere utilizzate per aiutare a proteggere le vittime passate e attuali di Ursnif. Nello specifico abbiamo trovato nomi utente, password, carte di credito, informazioni bancarie e di pagamento che sembrano essere state rubate alle vittime di Ursnif dai criminali in questione. Abbiamo visto le prove di oltre 100 banche italiane prese di mira nelle informazioni che abbiamo ottenuto, abbiamo anche visto oltre 1.700 credenziali rubate.

Per testare la macro rilasciamo il file su windows defender come falso positivo, in questo modo non verrà messo in quarantena o eliminato. All’apertura dell’ excel il file si presenta in questo modo:

enel-comunica-pericolosa-truffa-via-email-4

Non a caso le scritte sono illeggibili e l’unica cosa che si può fare è cliccare sul bottone VISUALIZZA che avvierà la macro, a questo punto vediamo il traffico di rete generato all’avvio della macro e come possiamo vedere dallo screenshot abbiamo delle chiamate TCP lanciate dal malware:

enel-comunica-pericolosa-truffa-via-email-5

Tutte le chiamate nel riquadro rosso in direzione 162.0.221.26 sono state generate dall’attivazione della macro, essendo in https non è possibile carpire ulteriori informazioni, però sappiamo che l’indirizzo ip di destinazione è americano e che qualche informazione viene mandata.

Analisi dominio enel comunica

Sulla sinistra il dominio enel-comunica.it e sulla destra il dominio di enel.it, come si può vedere il dominio di truffa è stato intestato ad una presunta ENEL SPA con tanto di nominativo di riferimento; confrontandolo con il reale dominio possiamo vedere le differenze prima fra tutte l’ente di registrazione, nel primo caso Aruba e nel secondo Enel Italia s.r.l.

enel-comunica-pericolosa-truffa-via-email-7

Conclusioni truffa enel comunica

Sottolineo che una email contenente un allegato come quello analizzato dovrebbe essere bloccata a monte dal server di posta, in caso non fosse così dovrebbe pensarci il sistema di thread protection a bloccare il file ma attenzione non tutti i sistemi sono in grado di rilevarlo:

enel-comunica-pericolosa-truffa-via-email-8

come possiamo vedere solo 34 su 65 rilevano questo file come una minaccia, quindi come ogni tentativo di truffa che abbiamo analizzato, nel caso in cui aveste anche solo un minimo dubbio riguardo il primo contatto (via email o SMS), rimarco il consiglio di NON aprire assolutamente il link o scaricare allegati con formati fuori dall’ordinario.

Assistenza informatica otts
Realizzazione siti web otts

ARTICOLI CORRELATI

Truffa iCloud tutte le foto verranno cancellate

Truffa iCloud tutte le foto verranno cancellate

iCloud è una piattaforma di servizi cloud sviluppata da Apple. È progettata per sincronizzare, archiviare e condividere dati tra device Apple, consentendo agli utenti di accedere alle proprie informazioni tramite collegamento a Internet. Tutti i dispositivi con il...

Your Netflix account has expired

Your Netflix account has expired

Ancora una volta attenzione alle eMail di phishing, segnaliamo questa truffa che ha l’obiettivo di rubare le credenziali d’accesso del famoso servizio di streaming Netflix. Vediamo l’eMail che ci viene recapitata: Ci viene notificato la scadenza del...

Truffa Luce e Gas

Truffa Luce e Gas

Stai pensando di cambiare il tuo gestore di Luce o gas o magari entrambi? Fai attenzione! Questo di per se è un campo minato, difficile trovare un consulente di fiducia e attivando i contratti tramite i call center nel 50% dei casi vi troverete in bolletta qualche...

Truffa DocuSign, view completed document

Truffa DocuSign, view completed document

Ancora una volta attenzione alle eMail di phishing, segnaliamo questa truffa che ha l'obiettivo di rubare le credenziali d'accesso del famoso servizio DocuSign. Vediamo l'eMail che ci viene recapitata: Ci viene notificato il caricamento di un documento andato a buon...