A battezzarlo così Marco Ramilli, fondatore e capo di Yoroi, azienda bolognese che si occupa di sicurezza informatica. Il suo team di esperti è stato il primi ad indagare sul virus e a scongiurare i pericoli per le aziende prese sotto attacco. Tra queste ben 88 hanno aperto e scaricato il file, ma grazie ai sistemi di sicurezza non tutte sono state poi davvero infettate. Nella lista ci sono sia colossi come Fastweb, Fineco, H3G, Autostrade, Bt Italia, Tiscali, Telecom Italia, Trenitalia, agenzie esterne collegate ad Aci, ma anche Regione Veneto, Regione Basilicata, Regione Toscana, la provincia di Reggio in Emilia, i comuni di Brescia e Bologna. Il virus non ha risparmiato nemmeno l’Università degli Studi di Milano e la Camera dei deputati.
Stando alle indagini il malware era studiato nei minimi particolari, tanto da sembrare davvero, ad una prima occhiata, una normale cartella esattoriale del ministero delle finanze. Le mail infatti contengono immagini e chiari riferimento all’Agenzia delle Entrate, al Ministero degli Interni, e anche ai modelli F24 da pagare. Aprendo il link contenuto nel testo il virus si collega all’indirizzo “239outdoors.com/themes5.php”, che in automatico scarica sul pc della vittima un file denominato “1t.exe”. Quest’ultimo deriva da un GootKit, è quindi imparentato con un Trojan diffuso in Russia a partire dal 2013, ma che da allora si è evoluto notevolmente. Con questo procedimento gli hacker di fatto riescono a risalire alle credenziali del pc infettato
, prendendone pieno possesso.Non è stato facile risalire alla fonte dell’attacco. Sembrerebbe infatti che il malware sia stato studiate appositamente per attaccare le aziende italiane, ma che sia partito dall’estero, più precisamente da Lincoln, Inghilterra. La società proprietaria del server è la Namecheap.com, la quale vende servizi cloud e si serve di pagamenti in bitcoin. Questo accorgimento è stato adottato dagli hacker in questione per rendere estremamente difficile, se non impossibile, risalire alla loro vera identità.
Un rischio per i clienti delle aziende? A Quanto pare si. Infatti, secondo la Yoroi, nel caso dei provider, è molto probabile che sia stato infettato il pc di un cliente, piuttosto che i loro uffici veri e propri.
È possibile comunque tutelarsi, ad esempio controllando sempre gli indirizzi da cui provengono le mail sospette. TaxOlolo infatti proveniva dagli indirizzi info@amber-kate.com e info@fallriverproductions.com, che chiaramente non hanno nulla a che fare con l’agenzia delle entrate. Inoltre l’attacco può partire solo se si clicca sul link contenuto nel testo della mail, che immediatamente scarica il malware.
È buona norma quindi aprire solo mail e link di cui conosciamo con assoluta certezza il mittente. Prestando attenzione a questi particolari si può sicuramente scongiurare il rischio di infettare il proprio pc da TaxOlolo, ma anche da altri virus molto diffusi che usano le stesse modalità di contagio. Lo scopo di questo elaborato attacco non è ancora ben chiaro, nè sono ancora effettivamente chiari gli effetti del virus, ma gli esperti di cybersecurity di Yoroi stanno tutt’ora indagando.