È disponibile l'estratto conto elettronico dell'Amministrazione della Sicurezza Sociale (truffa via e-mail)

I criminali informatici utilizzano spesso campagne email convincenti per indurre i destinatari ad aprire file dannosi, rivelare informazioni sensibili o installare malware. Per questo motivo, è fondamentale prestare la massima attenzione quando si riceve un'email inaspettata, soprattutto se afferma di contenere documenti importanti o notifiche urgenti. Le email del tipo "Social Security Administration eStatement Is Available" (L'estratto conto elettronico della previdenza sociale è disponibile) sono un esempio lampante di questa tattica. Questi messaggi sono fraudolenti e non sono associati ad alcuna azienda, organizzazione, agenzia governativa o ente legittimo. Il loro unico scopo è infettare i dispositivi delle vittime e fornire agli aggressori un accesso non autorizzato.

Uno sguardo più attento alla truffa

L'analisi delle email con la dicitura "Disponibile l'estratto conto elettronico della Social Security Administration" ha rivelato che fanno parte di una campagna di spam malevola progettata per impersonare la Social Security Administration (SSA). Le email informano falsamente i destinatari che il loro estratto conto della previdenza sociale del 2026 è disponibile per il download.

Per far sembrare il messaggio autentico, i truffatori includono dettagli come un codice di riferimento, una data e un pulsante ben visibile con la scritta "Scarica l'estratto conto elettronico". Questi elementi hanno lo scopo di creare un senso di legittimità e incoraggiare i destinatari a fidarsi dell'e-mail. Tuttavia, la vera Social Security Administration non ha alcun ruolo in questi messaggi.

L'obiettivo della campagna è indurre i destinatari a cliccare sul pulsante fornito, il che avvia la fase successiva dell'attacco.

Il portale di verifica falso

I destinatari che cliccano sul pulsante di download vengono reindirizzati a un sito web fraudolento, accuratamente progettato per assomigliare a una pagina ufficiale della SSA (Social Security Administration). Una volta giunti sul sito, i visitatori visualizzano il messaggio "Verifica dell'identità richiesta" e vengono invitati a interagire con un cursore per avviare il download del documento.

Anziché fornire un estratto conto della previdenza sociale, il sito web scarica automaticamente sul dispositivo del visitatore un file denominato "ScreenConnect.ClientSetup.msi". Il sito visualizza inoltre un avviso che dichiara che i documenti sono accessibili solo tramite computer con sistema operativo Windows. Questa restrizione è intenzionale, in quanto facilita il targeting degli utenti Windows e aumenta la probabilità che il programma di installazione dannoso funzioni correttamente.

Il processo di verifica non ha alcuno scopo legittimo ed esiste unicamente per far apparire il download affidabile.

Come funziona il programma di installazione dannoso

Il file scaricato contiene una versione modificata di ScreenConnect, noto anche come ConnectWise Control. In circostanze normali, ScreenConnect è un legittimo strumento di supporto e assistenza remota ampiamente utilizzato da professionisti e organizzazioni IT.

In questa campagna, tuttavia, il software è stato modificato e configurato per stabilire silenziosamente una connessione con i server controllati dagli aggressori. Una volta installata ed eseguita, l'applicazione infettata da trojan garantisce ai malintenzionati l'accesso remoto non presidiato al sistema compromesso.

Questo livello di accesso consente agli aggressori di svolgere una vasta gamma di attività dannose all'insaputa della vittima.

I pericoli della compromissione dei sistemi remoti

Quando gli aggressori ottengono l'accesso remoto tramite software dannoso, le conseguenze possono essere gravi. Potrebbero essere in grado di:

• Monitorare le attività della vittima e visualizzare tutto ciò che viene mostrato sullo schermo.
• Rubare documenti, credenziali di accesso, informazioni bancarie e altri dati sensibili.
• Installare malware aggiuntivo, inclusi ransomware, spyware o minacce per il furto di informazioni.
• Manipolare file e impostazioni di sistema.
• Effettuare transazioni finanziarie non autorizzate o abusare di account online compromessi.

Qualsiasi computer su cui sia stato eseguito il programma di installazione dannoso ScreenConnect deve essere considerato completamente compromesso. Sono necessarie misure immediate di risposta all'incidente per contenere la minaccia e prevenire ulteriori danni.

Come le email di spam diffondono malware

La campagna "Social Security Administration eStatement Is Available" (L'estratto conto elettronico dell'Amministrazione della Sicurezza Sociale è disponibile) dimostra una strategia comune di distribuzione di malware utilizzata dai criminali informatici. Le email di spam dannose diffondono generalmente malware tramite allegati o link incorporati.

Gli allegati possono arrivare in vari formati, tra cui documenti di Microsoft Office, file PDF, archivi ZIP, file eseguibili e script. Alcune infezioni da malware iniziano non appena il file viene aperto, mentre altre richiedono ai destinatari di abilitare le macro o di eseguire azioni aggiuntive.

Analogamente, i link dannosi spesso indirizzano gli utenti a siti web camuffati da portali di documenti sicuri, servizi di verifica o pagine di download. Questi siti sono progettati per convincere i visitatori a scaricare ed eseguire file dannosi. In alcuni casi, i download iniziano automaticamente, mentre in altri vengono utilizzate tecniche di ingegneria sociale per persuadere le vittime ad avviare il malware autonomamente.

Riconoscere i segnali di allarme

Diverse caratteristiche possono aiutare a identificare truffe di questo tipo:

• Email inaspettate che affermano che importanti documenti governativi, finanziari o legali sono disponibili per il download immediato.

• Messaggi che creano urgenza o incoraggiano un'azione rapida senza verifica indipendente.

• I link conducono a pagine di verifica prima che venga concesso l'accesso al presunto documento.

• Richieste di download di software per visualizzare documenti o completare procedure di verifica.

• Restrizioni insolite, come ad esempio l'affermazione che i contenuti siano accessibili solo da specifici sistemi operativi o dispositivi.

Riconoscere questi indicatori può aiutare a prevenire l'esposizione accidentale a malware e altre minacce informatiche.

Valutazione finale

La campagna email "Social Security Administration eStatement Is Available" è una pericolosa truffa di distribuzione di malware che si spaccia per la Social Security Administration (l'ente governativo britannico che gestisce la previdenza sociale) per conquistare la fiducia delle vittime. Invece di fornire un estratto conto annuale, la truffa reindirizza i destinatari a un falso portale di verifica che scarica un programma di installazione di ScreenConnect infetto da trojan.

Una volta eseguito, il software dannoso concede agli aggressori l'accesso remoto al sistema infetto, con la potenziale conseguenza di furto di dati, compromissione degli account, perdite finanziarie e ulteriori infezioni da malware. I destinatari che ricevono queste e-mail devono eliminarle immediatamente ed evitare di cliccare su qualsiasi link o scaricare qualsiasi file contenuto nel messaggio.