Wykrywany przez bolońską firmę Yoroi, zainfekował komputery dużych włoskich firm i instytucji publicznych. W chwili obecnej jego zachowanie nie jest jeszcze zbyt jasne
Wykorzystując częściowo "efekt zaskoczenia", a częściowo bezbłędnie wykonaną pracę na poziomie socjotechniki, w ciągu kilku dni hakerom udało się uderzyć w ważne włoskie firmy i instytucje publiczne. W rzeczywistości, lista ofiar (około 80 do kilku dni temu) obejmuje ACI, Fineco i Autostrade, jak również gminy Brescia i Bolonii, Ministerstwo Spraw Wewnętrznych i Izby Deputowanych.
W skrócie, wysoko brzmiące nazwy dla ataku hakerów, które, w tej chwili, nadal ma wiele punktów do wyjaśnienia. W rzeczywistości niektóre mechanizmy, a przede wszystkim skutki działania TaxOlolo (nazwa złośliwego oprogramowania odpowiedzialnego za cyberofensywę) nie zostały jeszcze poznane. Eksperci z Yoroi, firmy zajmującej się bezpieczeństwem komputerowym, która odkryła złośliwe oprogramowanie, wciąż dogłębnie analizują jego działanie i nie chcą wyciągać pochopnych wniosków. Pewne jest to, że nie jest to atak "studyjny": hakerzy chcieli uderzyć, aby wyrządzić krzywdę.
Jak atakuje TaxOlolo
TaxOlolo szybko rozprzestrzenia się za pośrednictwem poczty elektronicznej w przebraniu - jak sugeruje jego nazwa - rachunku podatkowego. W e-mailach pojawiają się obiekty takie jak "Codice Tributo Acconti" lub nawet "F24 Acconti-Codice Tributo 4034". I jeśli na pierwszy rzut oka wydają się to być przypadkowe nazwy, to wcale tak nie jest: są to kody formularzy podatkowych znane osobom pracującym w administracji dużych przedsiębiorstw lub instytucji publicznych. Atak TaxOlolo jest jednak skuteczny tylko wtedy, gdy link w treści e-maila zostanie otwarty: na komputer ofiary zostanie pobrany plik "1t.exe", który zainstaluje się i otworzy drzwi dla złośliwego oprogramowania z rodziny GootKit. Na razie nie wiadomo, jaki jest cel ataku, a badacze cyberbezpieczeństwa z Yoroi próbują ustalić, jakie są skutki działania złośliwego oprogramowania.
Jak bronić się przed TaxOlolo
Niestety hakerzy popełnili mały błąd. Chociaż e-maile są doskonałe (zarówno w temacie, jak i w treści), adres nadawcy jest "czysty" i sprawia, że oczywiste jest, że mamy do czynienia z atakiem phishingowym. Jeśli spojrzysz na adres nadawcy rachunku podatkowego, możesz zobaczyć, że jest to "[email protected]" lub "[email protected]": oczywiście nie jest to w żaden sposób związane z władzami podatkowymi lub kimkolwiek innym.
W skrócie, wszystko co musisz zrobić, to poświęcić trochę uwagi, aby uniknąć wpadnięcia w pułapkę hakerów, a tym samym uniknąć zainfekowania swojego komputera złośliwym oprogramowaniem związanym z TaxOlolo. Ważne jest również, aby pamiętać, aby nie otwierać żadnych linków ani załączonych plików, jeśli nie jest się pewnym nadawcy: w przypadku wątpliwości zawsze lepiej unikać robienia rzeczy, których można wkrótce żałować.