Email con malware a nome di società di recupero crediti e di casse malattia

Service navigation

Ricerca

Navigazione

Email con malware a nome di società di recupero crediti e di casse malattia

02.12.2024 - L’UFCS sta ricevendo numerose segnalazioni di e-mail che sembrano provenire da una società di recupero crediti o da una cassa malattia. Si tratta di una presunta richiesta di risarcimento o di un sollecito. Non cliccate sul link, è un tentativo di distribuire malware agli utenti Windows.

Melden Sie Schwachstellen

Attualmente, presunte fatture o solleciti vengono inviati a nome della società di recupero crediti Intrum, ma anche a nome di varie compagnie di assicurazione sanitaria. La lettera chiede di cliccare su un link per visualizzare le fatture in sospeso o per salvarle in formato PDF. L'oggetto delle e-mail è, ad esempio, il seguente (in tedesco):

  • «Sie haben neue Dokumente von der KPT. (2. Mahnung)»
  • «Offene Forderung: Intrum AG 28936038»
E-mail fraudolente a nome di compagnie di assicurazione sanitaria e della società di recupero crediti Intrum, che invitano il destinatario a cliccare sul link e a salvare una fattura insoluta in formato PDF.
E-mail fraudolente a nome di compagnie di assicurazione sanitaria e della società di recupero crediti Intrum, che invitano il destinatario a cliccare sul link e a salvare una fattura insoluta in formato PDF.

L'obiettivo degli aggressori è quello di indurre la vittima a scaricare un malware. Il malware è il noto malware «Lumma Stealer». Sono colpiti solo gli utenti Windows. Gli smartphone con Android o iOS e i computer con altri sistemi operativi non sono interessati in questo caso.

Screenshot des angeblichen Erstattungsantrags
Esempio di siti web che chiedono di visualizzare il documento. In realtà, però, viene scaricato del malware.
Esempio di siti web che chiedono di visualizzare il documento. In realtà, però, viene scaricato del malware.

Il link è un cosiddetto link WebDAV. Vengono attivate le seguenti attività (semplificate):

  • Un primo stadio del malware viene caricato in background;
  • Questo carica altri componenti e li esegue sul dispositivo;
  • Viene visualizzato in primo piano un documento PDF con una presunta fattura.

Lumma è un cosiddetto modello di business «Malware-as-a-Service (MaaS)» in cui i criminali informatici forniscono il malware e l'infrastruttura associata a pagamento, consentendo anche agli aggressori meno esperti di portare a termine cyberattacchi complessi.

Il malware «Lumma» è specializzato nel furto di dati sensibili come password, informazioni del browser e dettagli dei portafogli di criptovalute. «Lumma Stealer» era già stato notato dall'UFCS un mese fa. All'epoca, gli aggressori utilizzavano il processo di verifica dei CAPTCHA per indurre le vittime a installare il malware. L'UFCS ha scritto una recensione settimanale al riguardo:
Settimane in retrospettiva 45

Gli indicatori tecnici su questo incidente sono disponibili al seguente link:
https://github.com/govcert-ch/CTI/tree/main/20241202_LummaStealer

Raccomandazioni:

  • Non cliccate sul link.
  • Se siete in attesa di un sollecito, contattate l'agenzia di recupero crediti o la compagnia di assicurazione sanitaria per chiarire se la richiesta è effettivamente giustificata. A tale scopo, utilizzate i dettagli di contatto presenti sui siti web ufficiali delle società.
  • Se si sospetta che il malware sia stato installato, rivolgersi a un negozio di informatica specializzato. La cosa più sicura da fare è reinstallare completamente il computer. Non dimenticate di fare un backup di tutti i vostri dati personali e di cambiare le password per tutti gli accessi online (e-mail, social network, ecc.) dopo la reinstallazione.

Ultima modifica 02.12.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2024/2024-inkasso-kk.html