Avviso: Prevenzione e contrasto dell’evasione. Una ingannevole mail che simula una comunicazione dell’Agenzia delle Entrate e che tenta di diffondere malware attraverso .doc con macro malevola. (02 settembre)

Non e’ la prima volta che troviamo in rete phishing che sfrutta false mails che simulano messaggi che dovrebbero provenire dall’Agenzia delle Entrate. 
Di solito si tratta di fake mail che tentano di proporre  pagine con form per acquisire credenziali di carta di credito od altri dati sensibili.
Questa volta, invece, ci troviamo di fronte ad una tipica azione di diffusione malware che viene attuata sicuramente con grande cura nella sua implementazione anche se, come vedremo, non tutta l’azione malevola parrebbe avere la stessa cura nel tentare di ingannare chi ricevesse la fake mail.
Ecco alcuni dettagli:
Questa la mail 
con un testo in italiano corretto e sicuramente ingannevole e con un allegato file di testo .doc (word) che viene descritto nella mail come il testo contenente le “.Le Linee Guida fornite dall’Agenzia delle Entrate (in allegato). ……..”  e , di seguito riferimenti a “..per evitare di essere segnalato dal sistema come un soggetto “a rischio” dopo il primo controllo basato sul c.d. “redditometro”.
…”
Un primo dubbio in chi ricevesse la mail potrebbe essere il fatto che l’allegato non e’ nel diffuso formato Adobe pdf , formato di solito utilizzato per distribuire documenti di testo attraverso la rete, ma si sia usato un file .doc Word.
Naturalmente la spiegazione e’ che si utilizza la possibilita’ di gestire macro comandi da  parte di Word (ed anche di softwares che comunque leggono il formato word), cioe’ una serie di istruzioni che se eseguite tenteranno di scaricare ed eseguire sul pc di chi ha aperto il file, codice malevolo.
C’e’ da notare come il testo del messaggio mail sia molto curato e presenti la tipica struttura dei testi ufficiali ma la spiegazione e’ abbastanza semplice.
Qui vediamo una recente circolare datata 6 agosto e prodotta dall’Agenzia delle Entrate 
Si tratta di un testo in formato PDF che presenta, tra l’altro,  
che possiamo confrontare con il messaggio mail.
Si capisce come, col minimo sforzo, chi vuole distribuire il malware, abbia fatto un copia e incolla del  testo ufficiale, ottenendo un messaggio altamente ingannevole.
Come si vede il layout mail presenta anche il logo dell’Agenzia delle Entrate, che vien direttamente acquisito dal sito ufficiale.
La mail presenta inoltre headers 
Passando all’allegato .doc, che e’ poi il veicolo del malware, abbiamo
dove in realta’ troviamo solo del testo in inglese che spiega come attivare l’esecuzione delle macro nelle varie versioni di Word Microsoft.
In effetti cio’ contrasta con il dettaglio del testo mail, che era in italiano e sicuramente molto ingannevole, ma in questo caso e’ possibile che, se l’esecuzione delle macro fosse abilitata, il testo mostrato conti poco in quanto avremmo gia’ la possibile azione malevola in corso.
Esaminando infatti i contenuti del doc troviamo questo codice macro
che se andasse in esecuzione, tenterebbe di scaricare da sito su dominio .ru una falsa immagine png, in realta’ codice malevolo
Ecco come Virus Total rilevava il codice incluso nel doc
con praticamente nessun AV che evidenzia la minaccia.
Scaricando il fake file immagine dal sito .ru ed analizzandolo con VT abbiamo invece un maggior numero di software che rilevano i contenuti malevoli
Dal punto di vista dell’origine dell’azione di distribuzione malware alcuni dettagli , a parte il dominio .ru a supporto del codice macro, notiamo anche code page del documento word che mostra
e scritta in caratteri est europei
L’azione sembra molto recente in quanto sia il response header 
che la data di creazione del dominio .ru (anche se su server koreano) sono attuali.
Un phishing con allegato malevolo che potrebbe quindi rivelarsi abbastanza pericoloso anche se c’e’ da dire che normalmente l’esecuzione automatica di codici macro inclusi in documenti word dovrebbe, per motivi di sicurezza,essere di default disabilitata ed e’ proprio  per questo che il testo del doc mostra, anche se in inglese, come attivare l’esecuzione dei codici macro.
Edgar