Chi ha confezionato la mail, il fisco italiano lo conosce bene. Almeno secondo la Yoroi di Bologna, azienda specializzata in sicurezza informatica che ha scoperto un attacco mirato alle aziende italiane. La mail ha come oggetto “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”, moduli noti a chi lavora nell’amministrazione. Solo l’indirizzo è chiaramente fasullo: info@amber-kate.com e info@fallriverproductions.com. Ma se si commette la leggerezza di non notarlo limitandosi all’oggetto, come è già accaduto, le conseguenze possono esser gravi.Una volta aperto il link il virus TaxOlolo, così ribattezzato a Bologna, si collegava inizialmente all’indirizzo 239outdoors.com/themes5.php (evitate di copiarlo ovviamente) poi a quel server se ne sono affiancati altri. Fanno tutti la stessa cosa: sul computer del malcapitato arriva il file 1t.exe capace di istallarsi da solo e di mettersi in attesa di comandi dall’esterno. E' un malware imparentato con GootKit, un virus che affonda le sue radici in Russia nel 2013 e da allora evoluitosi. Ma è solo uno dei due file che fanno parte dell’attacco e che forniscono a chi lo ha congeniato le credenziali del computer infettato. “Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli” racconta, a capo della Yoroi.

Stando alle indagini, le aziende che sarebbero cascate nel tranello sono oltre ottanta e quasi tutte italiane . Sono quelle che avrebbero aperto il link e scaricato il file. Ci sarebbero nomi di peso come quello di Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio nell'Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind e agenzie esterne legate ad Aci. Da tutte queste aziende l’1t.exe ha contatto il server controllato dagli attaccanti.Non significa necessariamente che le reti colpite siano poi state infettate, dipende dai singoli sistemi di sicurezza e molti hanno bloccato la minaccia (Trenitalia ad esempio fa sapere di non aver subito danni), solo che qualcuno al loro interno ha aperto la porta senza capire cosa stava facendo.“Nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro uffici veri e propri”, prosegue Marco Ramilli. "Incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo”. La società che affitta il server sarebbe la Namecheap.com, vende servizi cloud, e accetta pagamenti in bitcoin. A meno di errori madornali e pesanti ingenuità, sarà quindi difficile risalire a chi realmente ha sferrato l'attacco.