malware Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Cashback di Stato: il modulo da scaricare contiene un virus

Come era prevedibile qualcuno sta approfittando dell'euforia collettiva degli italiani per il Cashback di Stato: attenti alla email fake che contiene un malware.

Dal 1 gennaio 2021 è entrata nel vivo la prima fase ufficiale del Cashback di Stato semestrale: quasi sei milioni di italiani stanno accumulando le 50 transazioni elettroniche necessarie a ricevere il rimborso fino a 150 euro e a concorrere per l’assegnazione del Super Cashback da 1.500 euro. Qualcun altro, invece, sta provando ad approfittarne per infettare i device degli italiani con un virus.

Lo ha scoperto l’azienda italiana di cybersicurezza D3Lab, che lo ha comunicato al CERT-AGID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale che fa capo alla Presidenza del Consiglio dei Ministri. Il CERT ha poi diffuso la notizia e i dettagli per avvertire tutti: sta circolando una email che invita a scaricare un modulo per ottenere il Cashback di Stato 2021, ma il modulo contiene un virus. Si tratterebbe di una campagna malspamMade in Italy” e il virus non sarebbe molto sofisticato, ma più che sufficiente per spiare a fondo il computer infettato.

La falsa email con il modulo per il Cashback

Tutto parte, come quasi sempre, da una email inviata a tappeto a migliaia di indirizzi. Il mittente è supporto@cashback.it mentre l’oggetto è “Richiesta compilazione modulo“. Il corpo della email recita: “Gentile utente, la tua posizione finanziaria deve essere aggiornata, per ottenere il cashback di stato del 2021 dovrai compilare il modulo allegato alla presente mail. Qui sotto troverai un modulo in formato PDF da stampare e compilare in modo da poterlo spedire con posta prioritaria“.

Segue un link che dovrebbe portare al famigerato modulo in PDF. Ma, in realtà, quello che l’utente scarica se clicca sul link non è un file PDF ma un eseguibile scritto in Visual Basic 6 che, una volta avviato, si collega ad un server FTP e scarica il virus vero e proprio: un keylogger.

I keylogger sono malware in grado di registrare quello che digitiamo sulla tastiera e inviare poi il flusso di dati ad un server remoto. Tra questi dati ci può essere di tutto, compresi nome utente e passoword dei nostri account. Compresi quelli bancari.

Un malware Made in Italy

Secondo il CERT-AGID “Sono emerse numerose evidenze che l’autore del malware sia italiano. Raramente un autore di malware estero usa VB6 o, per lo meno, ad oggi non ne abbiamo rilevati“. L’autore potrebbe essere un hacker molto giovane o, comunque, alle prime armi visto che ha lasciato molte tracce (persino una firma) all’interno dei file veicolati dalla email.

Il fatto che si tratti di una campagna di phishing assolutamente classica e di un virus molto rudimentale, però, non vuol dire che sia da sottovalutare: se l’utente clicca sul link, scarica il file e non è protetto da antivirus ci sono buone possibilità che il malware entri in azione con tutte le conseguenze già descritte.

Come difendersi dal virus del Cashback

La prima difesa da questo virus è la conoscenza delle regole del Cahsback di Stato: per aderire non serve alcun modulo, bisogna semplicemente scaricare e usare l’app IO o usare una delle app per il Cashback senza SPID.

Il programma Cashback è gestito da PagoPA Spa, che non invia alcuna email a nessuno e, al contrario, usa solo IO per tutte le comunicazioni e i messaggi agli utenti. Chiunque riceva una email relativa al Cashback, quindi, può star certo che si tratti o di un virus o di un tentativo di truffa.

© Italiaonline S.p.A. 2021Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963