Phishing: attenzione alla falsa email della ANBSC
Topic
Approfondimenti
Trending
tutti

Phishing: attenzione alla falsa email della ANBSC

Nell'email inviata da una presunta agenzia nazionale finanziaria è presente un link che avvia una serie di download fino all'installazione di un malware.
Phishing: attenzione alla falsa email della ANBSC
Sicurezza
Nell'email inviata da una presunta agenzia nazionale finanziaria è presente un link che avvia una serie di download fino all'installazione di un malware.
Google AI Studio

Gli esperti del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale (CERT-AgID) hanno analizzato un’email ricevuta a fine febbraio, scoprendo le tecniche utilizzate per un attacco di phishing. Lo scopo dei cybercriminali (ignoti) era probabilmente quello di installare il noto XWorm, ma non è stato rilevato il payload finale che conferma il nome del malware.

Dettagli sulla campagna di phishing

Gli utenti più esperti di tecnologia noteranno sicuramente almeno due errori nell’email, quindi si accorgeranno subito che si tratta di un tentativo di phishing. L’oggetto dell’email (Informare servicii online ANBSC) svela la scarsa conoscenza dell’italiano. ANBSC è l’acronimo dell’Agenzia Nazionale per l’Amministrazione e la Destinazione dei Beni Sequestrati e Confiscati alla Criminalità Organizzata, ma nel testo c’è un riferimento ad un’altra agenzia (inesistente).

I cybercriminali avvisano l’utente che è stata riscontrata una irregolarità nella dichiarazione dei redditi 2025, quindi è necessario cliccare sul link indicato per accedere al sito dell’ANAF (Agenzia Nazionale per l’Amministrazione Finanziaria) per evitare una sanzione.

Cliccando sul link viene scaricato un archivio ZIP che contiene un file URL. Aprendo il file viene scaricato ed eseguito uno script WSH (Windows Script Host). Si tratta del loader di uno script JavaScript che scarica un file batch nella directory Download e ne avvia l’esecuzione.

A questo punto viene mostrato un documento PDF relativo alla presunta irregolarità fiscale e verificata la presenza del file python.exe. Se non presente viene scaricata la versione embedded 3.14.0 da python.org. Successivamente vengono scaricati tre file (sb.py, new.bin e a.txt) e avviata la decifratura di new.bin tramite lo script sb.py usando le chiavi contenute in a.txt.

Il payload finale viene iniettato nel processo explorer.exe per ostacolare la rilevazione. L’indirizzo IP e la porta del server C2 (command and control) vengono recuperati da Pastebin. Secondo un utente su VirusTotal, il server C2 viene usato dal malware XWorm, ma non ci sono conferme. Si tratta di un RAT (Remote Access Trojan) già sfruttato per altre campagne di phishing.

Fonte: CERT-AgID

Pubblicato il 4 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Coruna: potente exploit kit per spiare gli iPhone

Coruna: potente exploit kit per spiare gli iPhone
Hacking delle telecamere del traffico per spiare Khamenei

Hacking delle telecamere del traffico per spiare Khamenei
Niente crittografia E2E, TikTok può leggere i tuoi messaggi

Niente crittografia E2E, TikTok può leggere i tuoi messaggi
Come navigare sicuri su Internet nel 2026 (10 consigli)

Come navigare sicuri su Internet nel 2026 (10 consigli)
Coruna: potente exploit kit per spiare gli iPhone

Coruna: potente exploit kit per spiare gli iPhone
Hacking delle telecamere del traffico per spiare Khamenei

Hacking delle telecamere del traffico per spiare Khamenei
Niente crittografia E2E, TikTok può leggere i tuoi messaggi

Niente crittografia E2E, TikTok può leggere i tuoi messaggi
Come navigare sicuri su Internet nel 2026 (10 consigli)

Come navigare sicuri su Internet nel 2026 (10 consigli)
Luca Colantuoni
Pubblicato il
4 mar 2026
Link copiato negli appunti