ENEL COMUNICA: Pericolosa truffa via email

In questo articolo andiamo ad analizzare una truffa targata Enel, non è il solito tentativo di phishing, questa volta i cyber criminali hanno dato il meglio per realizzarla con tanto di dominio creato appositamente per dare una certa autorevolezza alla email.

Contatto via eMail da Enel Comunica

Vediamo subito il contatto fasullo da parte di Enel Comunica arrivato tramite eMail:

noreply.enelenergia@enel-comunica.it

no.reply.enelenergia@pec.enel.it

L’ email arriva come un sollecito di pagamento, molto sagace l’ideatore di questo messaggio, in questo modo ci facciamo prendere dalla rabbia o dallo sconforto per l’ennesima pessima gestione amministrativa da parte di un ente e andiamo a vedere il motivo del sollecito.
In allegato un file .xlsm il classico formato di excel contenente macro, chiaro segnale di truffa/malware in arrivo.

Analisi allegato in LAB

Analizziamo l’allegato di enel comunica in una vm windows 10 aggiornata al giorno di stesura di questo articolo, appena cliccato sul download del file excel il buon microsoft defender ci mette subito in guardia:

Il file contiene un Trojan noto Ursnif, questo è quanto riportato dal team di Avast:

Ursnif è un malware che ha avuto inizio nel 2007 come Trojan bancario, ma si è evoluto nel corso degli anni ed è rimasto una minaccia costante e persistente.
Ursnif ha preso di mira utenti in molti paesi in tutto il mondo nel corso degli anni, spesso diffondendosi utilizzando email in lingua madre. Tra i paesi dove Ursnif ha avuto un impatto significativo c’è l’Italia.
Analizzando le informazioni, i nostri ricercatori hanno trovato informazioni che potrebbero essere utilizzate per aiutare a proteggere le vittime passate e attuali di Ursnif. Nello specifico abbiamo trovato nomi utente, password, carte di credito, informazioni bancarie e di pagamento che sembrano essere state rubate alle vittime di Ursnif dai criminali in questione. Abbiamo visto le prove di oltre 100 banche italiane prese di mira nelle informazioni che abbiamo ottenuto, abbiamo anche visto oltre 1.700 credenziali rubate.

Per testare la macro rilasciamo il file su windows defender come falso positivo, in questo modo non verrà messo in quarantena o eliminato. All’apertura dell’ excel il file si presenta in questo modo:

Non a caso le scritte sono illeggibili e l’unica cosa che si può fare è cliccare sul bottone VISUALIZZA che avvierà la macro, a questo punto vediamo il traffico di rete generato all’avvio della macro e come possiamo vedere dallo screenshot abbiamo delle chiamate TCP lanciate dal malware:

Tutte le chiamate nel riquadro rosso in direzione 162.0.221.26 sono state generate dall’attivazione della macro, essendo in https non è possibile carpire ulteriori informazioni, però sappiamo che l’indirizzo ip di destinazione è americano e che qualche informazione viene mandata.

Analisi dominio enel comunica

Sulla sinistra il dominio enel-comunica.it e sulla destra il dominio di enel.it, come si può vedere il dominio di truffa è stato intestato ad una presunta ENEL SPA con tanto di nominativo di riferimento; confrontandolo con il reale dominio possiamo vedere le differenze prima fra tutte l’ente di registrazione, nel primo caso Aruba e nel secondo Enel Italia s.r.l.

Conclusioni truffa enel comunica

Sottolineo che una email contenente un allegato come quello analizzato dovrebbe essere bloccata a monte dal server di posta, in caso non fosse così dovrebbe pensarci il sistema di thread protection a bloccare il file ma attenzione non tutti i sistemi sono in grado di rilevarlo:

come possiamo vedere solo 34 su 65 rilevano questo file come una minaccia, quindi come ogni tentativo di truffa che abbiamo analizzato, nel caso in cui aveste anche solo un minimo dubbio riguardo il primo contatto (via email o SMS), rimarco il consiglio di NON aprire assolutamente il link o scaricare allegati con formati fuori dall’ordinario.