New wave of phishing emails with the theme of overdue invoices, this time simulating the BRT brand: hackers are making a big leap.
Italian hackers are raising the level of their attacks, even those via phishing emails, but they remain faithful to the well-known and very effective banking malware Ursnif, which over time has proven to be an excellent (for cyber criminals) tool to steal victims’ bank account credentials.
The latest phishing campaign carrying Ursnif, discovered by security researcher JAMESWT, exploits the BRT Spa express courier brand and the well-known expired invoice hook. Nothing new so far, but the body of the deceptive and dangerous email has been well designed to make the message seem very credible. Tanto credibile da convincere l’utente a scaricare l’allegato contenente la finta fattura non pagata e il codice malevolo che fa partire l’infezione. Ecco come riconoscere questo tipo di email per non cadere in trappola e non rischiare che qualcuno possa accedere al nostro conto corrente.
Finta email BRT, come riconoscerla
Il ricercatore di sicurezza ha condiviso su Twitter alcuni screenshot delle email di phishing a tema BRT, che sono ancora in corso di invio mentre scriviamo. Provengono tutte da indirizzi simili a “[email protected]” (dove XXX è un numero come 092 o 098). L’oggetto della email è: “BRT S.P.A. – Sollecito pagamento fatture XXXXXXXX (IDXXXXXXX)“. Anche in questo caso al posto delle X ci sono dei numeri, che variano di volta in volta.
Poi c’è il corpo dell’email, realizzato in modo quasi sartoriale e con grandissima attenzione: “Gentile cliente, con la presente Le segnaliamo che non ci risulta pervenuto il pagamento delle fatture scadute di seguito riportate“. Segue la data della fattura, che è di 30 giorni precedente al sollecito (come prevede la legge: il cliente ha 30 giorni per saldare le fatture), la scadenza e l’importo.
Gli importi variano, ma sono sempre consistenti: tra 1.500 e 2.000 euro, per far preoccupare chi riceve il sollecito di pagamento. Poi c’è una ulteriore chicca: “Il pagamento può essere pagato con bonifico bancario a favore di BRT S.p.A., usando le coordinate IBAN di una delle Banche di seguito elencate riportando nella descrizione il codice cliente XXXXXXXX“.
In questo caso al posto delle X c’è lo stesso numero riportato nell’oggetto dell’email, segno che non siamo affatto di fronte ad un messaggio creato da un software, magari in diverse lingue contemporaneamente (usando pessimi traduttori automatici). No, siamo di fronte ad una email scritta a puntino, fatta a posta per sembrare vera e legittima tanto che poi gli IBAN sono riportati veramente.
E sono tutti IBAN credibili, seppur inesistenti: iniziano per IT e seguono le regole di composizione standard di questi codici bancari. There are also the names of five famous Italian banks, one for each IBAN shown and, finally, a phone number to call for information.
Number that, moreover, is of the BRT office of Casale sul Sile in the province of Treviso. Everything, really everything, is therefore designed to look absolutely credible and convince the recipient of this email to download the Office xlsm attachment: the fake invoice containing the Ursnif virus.
Ursnif malware, why it is dangerous
Ursnif, also called Gozi or ISFB (they are all slightly different viruses, but they belong to the same strain), is a very old Windows virus: it was spotted for the first time in 2009, more than ten years ago. It’s not for nothing that it’s also the most widespread banking trojan in our country and among the top 5 globally. So for hackers, it’s a certainty.
Today Ursnif is much more powerful than when it was born and it can thoroughly spy on the behavior of the infected computer’s user, collecting data on Web browsing and what he types. So when the user visits their online bank’s website and types in their password, Ursnif records everything and sends the data to the hackers.
Who, of course, will use it to access that bank account and start making transfers to their foreign accounts.