As was predictable someone is taking advantage of the collective euphoria of Italians for the State Cashback: beware of the fake email that contains malware.
Since January 1, 2021, the first official phase of the six-monthly State Cashback has come to life: almost six million Italians are accumulating the 50 electronic transactions necessary to receive the reimbursement up to 150 euros and to compete for the assignment of the Super Cashback of 1,500 euros. Someone else, however, is trying to take advantage of it to infect the devices of Italians with a virus.
It was discovered by the Italian cybersecurity company D3Lab, which communicated it to CERT-AGID, the Computer Emergency Response Team of the Agency for Digital Italy that belongs to the Presidency of the Council of Ministers. Il CERT ha poi diffuso la notizia e i dettagli per avvertire tutti: sta circolando una email che invita a scaricare un modulo per ottenere il Cashback di Stato 2021, ma il modulo contiene un virus. Si tratterebbe di una campagna malspam “Made in Italy" e il virus non sarebbe molto sofisticato, ma più che sufficiente per spiare a fondo il computer infettato.
La falsa email con il modulo per il Cashback
Tutto parte, come quasi sempre, da una email inviata a tappeto a migliaia di indirizzi. Il mittente è [email protected] mentre l’oggetto è “Richiesta compilazione modulo“. Il corpo della email recita: “Gentile utente, la tua posizione finanziaria deve essere aggiornata, per ottenere il cashback di stato del 2021 dovrai compilare il modulo allegato alla presente mail. Qui sotto troverai un modulo in formato PDF da stampare e compilare in modo da poterlo spedire con posta prioritaria“.
Segue un link che dovrebbe portare al famigerato modulo in PDF. Ma, in realtà, quello che l’utente scarica se clicca sul link non è un file PDF ma un eseguibile scritto in Visual Basic 6 che, una volta avviato, si collega ad un server FTP e scarica il virus vero e proprio: un keylogger.
I keylogger sono malware in grado di registrare quello che digitiamo sulla tastiera e inviare poi il flusso di dati ad un server remoto. Tra questi dati ci può essere di tutto, compresi nome utente e passoword dei nostri account. Compresi quelli bancari.
Un malware Made in Italy
Secondo il CERT-AGID “Sono emerse numerose evidenze che l’autore del malware sia italiano. Raramente un autore di malware estero usa VB6 o, per lo meno, ad oggi non ne abbiamo rilevati“. The author could be a very young hacker or, in any case, a novice one, since he left many traces (even a signature) inside the files carried by the email.
The fact that it is an absolutely classic phishing campaign and a very rudimentary virus, however, does not mean that it is to be underestimated: if the user clicks on the link, downloads the file and is not protected by antivirus, there are good chances that the malware will come into action with all the consequences already described.
How to defend yourself from Cashback virus
The first defense against this virus is the knowledge of the State Cahsback rules: to join it you don't need any form, you simply need to download and use IO app or use one of the Cashback apps without SPID.
The Cashback program is managed by PagoPA Spa, which doesn't send any email to anyone and, on the contrary, uses only IO for all communications and messages to users. Anyone who receives an email about Cashback, therefore, can be sure that it is either a virus or a scam attempt.