Détecté par la société Yoroi, basée à Bologne, il a infecté les PC de grandes entreprises et d'organismes publics italiens. Pour l'instant, son comportement n'est pas encore très clair
Profitant en partie de "l'effet de surprise" et en partie d'un travail impeccable réalisé au niveau de l'ingénierie sociale, en l'espace de quelques jours, les pirates ont réussi à frapper d'importantes entreprises et organismes publics italiens. En effet, la liste des victimes (environ 80 jusqu'à il y a quelques jours) comprend ACI, Fineco et Autostrade, ainsi que les municipalités de Brescia et de Bologne, le ministère de l'Intérieur et la Chambre des députés.
En bref, des noms ronflants pour une attaque de pirates informatiques qui, pour l'instant, a encore de nombreux points à éclaircir. En effet, certains mécanismes et, surtout, les effets de TaxOlolo (nom du malware responsable de la cyberoffensive) restent à comprendre. Les experts de Yoroi, la société de sécurité informatique qui a découvert le logiciel malveillant, analysent encore son fonctionnement en profondeur et ne veulent pas tirer de conclusions hâtives. Ce qui est sûr, c'est qu'il ne s'agit pas d'une attaque " d'étude " : les pirates ont voulu frapper pour faire du mal.
Comment TaxOlolo attaque
TaxOlolo se propage rapidement par e-mail déguisé - comme son nom l'indique - en facture d'impôt. Les messages électroniques sont présentés avec des objets tels que "Codice Tributo Acconti" ou même "F24 Acconti-Codice Tributo 4034". Et si, à première vue, ces noms semblent être des noms aléatoires, ce n'est pas du tout le cas : il s'agit de codes pour des formulaires fiscaux familiers aux personnes travaillant dans les administrations des grandes entreprises ou des organismes publics. L'attaque TaxOlolo n'est toutefois efficace que si le lien figurant dans le corps du texte de l'e-mail est ouvert : le fichier "1t.exe" sera téléchargé sur le PC de la victime, qui s'installe et ouvre la porte aux logiciels malveillants de la famille GootKit. Pour l'instant, on ne sait toujours pas quel est le but de l'attaque, les chercheurs en cybersécurité de Yoroi essayant de comprendre quels sont les effets du malware.
Comment se défendre contre TaxOlolo
Malheureusement, les pirates ont fait une petite erreur. Bien que les e-mails soient parfaits (tant dans l'objet que dans le corps du texte), l'adresse de l'expéditeur est "en clair" et indique clairement qu'il s'agit d'une attaque de phishing. Si vous regardez l'adresse de l'expéditeur de la facture fiscale, vous pouvez voir qu'il s'agit de "[email protected]" ou "[email protected]" : manifestement, il n'y a aucun lien avec l'administration fiscale ou qui que ce soit d'autre.
En bref, il suffit de faire un peu attention pour ne pas tomber dans le piège du pirate et éviter ainsi d'infecter votre PC avec un malware lié à TaxOlolo. Il est également important de se rappeler de ne pas ouvrir de liens ou de fichiers joints si l'on n'est pas sûr de l'expéditeur : en cas de doute, il vaut toujours mieux éviter de faire des choses que l'on pourrait bientôt regretter.