ROMA – Se ricevete una cartella esattoriale sospetta, fate attenzione: potrebbe essere il virus TaxOlolo. Un attacco hacker di grandi dimensioni è stato lanciato da un server inglese e ha già colpito oltre 80 compagnie, tra cui Aci, Fineco, Autostrade, la Camera e Trenitalia. Il virus è stato creato su misura per colpire le aziende italiane e arriva sotto forma di mail dal ministero delle Finanze, con oggetto “Codici Tributo Acconti” o “F24 Acconti-Codice Tributo 4034”, e una volta aperto installa un software nel computer infettato, ma non è ancora chiaro cosa sia in grado di fare.
A lanciare l’allarme è l’azienda Yoroi di Bologna, specializzata in sicurezza informatica, che ha scoperto l’attacco hacker in corso, come spiega Jaime D’Alessandro sul sito Repubblica. Se l’oggetto della mail indica moduli noti a chi lavora nelle amministrazioni, l’indirizzo è evidentemente fasullo, ma se il dettaglio sfugge al destinatario ci si ritrova col pc infettato:
“Una volta aperto il link il virus TaxOlolo, così ribattezzato a Bologna, si collega all’indirizzo 239outdoors.com/themes5.php e sul computer del malcapitato viene scaricato il file 1t.exe capace di istallarsi da solo e di mettersi in attesa di comandi dall’esterno. Si tratta di un malware imparentato con GootKit, un virus che affonda le sue radici in Russia nel 2013 e da allora evoluitosi. Ma è solo uno dei due file che fanno parte dell’attacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato. “Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli” racconta Marco Ramilli, a capo della Yoroi.
Stando alle indagini, le aziende che sarebbero cascate nel tranello sono circa 88 e quasi tutte italiane. Sono quelle che avrebbero aperto il link e scaricato il file. Ci sarebbero nomi di peso come quello dell’Aci, Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio nell’Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind. Da tutte queste aziende l’1t.exe ha contatto il server controllato dagli attaccanti.
“Nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro uffici veri e propri”, prosegue Marco Ramilli. “Incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo”. La società che affitta il server sarebbe la Namecheap.com, vende servizi cloud, e accetta pagamenti in bitcoin. A meno di errori madornali e pesanti ingenuità, sarà quindi difficile risalire a chi realmente ha sferrato l’attacco”.
