Cosa sappiamo di #sLoad e perchè è così elusivo?
In questa analisi proponiamo di condividere le evidenze che abbiamo raccolto nel corso del tempo per cercare di far luce sulla natura di questo malware.
In questa analisi proponiamo di condividere le evidenze che abbiamo raccolto nel corso del tempo per cercare di far luce sulla natura di questo malware.
Indice degli argomenti🔗 https://cert-agid.gov.it/news/cosa-sappiamo-di-sload-e-perche-e-cosi-elusivo/
- La longevità
- Quali paesi colpisce?
- Come si diffonde?
- Come si presenta?
- Come si comporta?
- Protezione del file da scaricare
- Il powershell e la persistenza
- Rimozione di sLoad
- L’installer
- Come lavora il core
- La pazienza
- Quali payload abbiamo osservato?
- Sugli autori?
CERT-AGID
Cosa sappiamo di sLoad e perchè è così elusivo?
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole di cui 51 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1050 indicatori di compromissione (IOC) individuati.
💣 #IoC 1050
🦠 #Malware 11 (famiglie)
🐟 #Phishing 18 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-19-25-febbraio-2022/
💣 #IoC 1050
🦠 #Malware 11 (famiglie)
🐟 #Phishing 18 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-19-25-febbraio-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 19 – 25 febbraio 2022
Campagna malspam volta a veicolare il malware #Emotet tramite falsa comunicazione #ANPAL (Agenzia Nazionale Politiche Attive del Lavoro)
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/emotet_anpal_02-03-2022.json_.txt
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/emotet_anpal_02-03-2022.json_.txt
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 58 campagne malevole di cui 48 con obiettivi italiani e 10 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1314 indicatori di compromissione (IOC) individuati.
💣 #IoC 1314
🦠 #Malware 9 (famiglie)
🐟 #Phishing 20 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-febbraio-04-marzo-2022/
💣 #IoC 1314
🦠 #Malware 9 (famiglie)
🐟 #Phishing 20 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-febbraio-04-marzo-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 26 febbraio – 04 marzo 2022
iferimento, un totale di 58 campagne malevole di cui 48 con obiettivi italiani ed 10 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1314 indicatori di compromissione (IOC) individuati.
Campagna malspam volta a veicolare il malware #Ursnif tramite falsa circolare #MISE (Ministero Sviluppo Economico)
Gli #IoC sono disponibili al seguente link 👇 (aggiornamento ore 14:43)
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_mise_07-03-2022.json_.txt
Gli #IoC sono disponibili al seguente link 👇 (aggiornamento ore 14:43)
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_mise_07-03-2022.json_.txt
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 64 campagne malevole di cui 56 con obiettivi italiani ed 8 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 940 indicatori di compromissione (IOC) individuati.
💣 #IoC 940
🦠 #Malware 11 (famiglie)
🐟 #Phishing 23 (brand)
❗️Tema d'eccezione #CyberWar per diramare gli IoC relativi all’emergenza Ucraina.
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-05-marzo-11-marzo-2022/
💣 #IoC 940
🦠 #Malware 11 (famiglie)
🐟 #Phishing 23 (brand)
❗️Tema d'eccezione #CyberWar per diramare gli IoC relativi all’emergenza Ucraina.
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-05-marzo-11-marzo-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 05 marzo – 11 marzo 2022
Campagna malspam volta a veicolare il malware #Ursnif tramite falsa comunicazione #MISE (Ministero Sviluppo Economico)
Oggetto: Aiuti economici per gas e luce per piccole e medie imprese
Allegato: ZIP + HTA
Gli #IoC sono disponibili al seguente link 👇 (aggiornamento @ 11:13)
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_mise_15-03-2022.json_.txt
Oggetto: Aiuti economici per gas e luce per piccole e medie imprese
Allegato: ZIP + HTA
Gli #IoC sono disponibili al seguente link 👇 (aggiornamento @ 11:13)
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_mise_15-03-2022.json_.txt
CERT-AgID
Campagna malspam volta a veicolare il malware #Ursnif tramite falsa comunicazione #MISE (Ministero Sviluppo Economico) Oggetto: Aiuti economici per gas e luce per piccole e medie imprese Allegato: ZIP + HTA Gli #IoC sono disponibili al seguente link 👇 (aggiornamento…
Ancora una campagna malspam volta a veicolare il malware #Ursnif tramite falsa comunicazione #MISE (Ministero Sviluppo Economico) e #AgenziaEntrate
Oggetto (MISE): Incentivi a fondo perduto per spese energetiche per piccole e medie imprese
Oggetto (AgenziaEntrate): Commissione parlamentare di osservanza sul registro tributario
Allegato: ZIP + HTA
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_MISE_17-03-2022.json_.txt
Oggetto (MISE): Incentivi a fondo perduto per spese energetiche per piccole e medie imprese
Oggetto (AgenziaEntrate): Commissione parlamentare di osservanza sul registro tributario
Allegato: ZIP + HTA
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_MISE_17-03-2022.json_.txt
Sintesi riepilogativa delle campagne malevole nella settimana del 12 marzo – 18 marzo 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 69 campagne malevole di cui 66 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1493 indicatori di compromissione (IOC) individuati.
📈 Inaspettata crescita delle campagna #Emotet
💣 #IoC 1493
🦠 #Malware 12 (famiglie)
🐟 #Phishing 20 (brand)
❗️Tema d'eccezione #CyberWar per diramare gli IoC relativi all’emergenza Ucraina.
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-marzo-18-marzo-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 69 campagne malevole di cui 66 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1493 indicatori di compromissione (IOC) individuati.
📈 Inaspettata crescita delle campagna #Emotet
💣 #IoC 1493
🦠 #Malware 12 (famiglie)
🐟 #Phishing 20 (brand)
❗️Tema d'eccezione #CyberWar per diramare gli IoC relativi all’emergenza Ucraina.
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-marzo-18-marzo-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 12 marzo – 18 marzo 2022
sLoad torna a colpire le PEC
A seguito di ulteriori analisi, frutto della collaborazione tra il CERT-AGID e i gestori PEC, è stata rilevata una nuova campagna malspam tramite PEC, volta a veicolare il malware sLoad (v.4.3.3), a partire dalle prime ore del mattino della data odierna.
Per le azioni di contrasto relative a questa campagna si riportano gli #IoC individuati 👇
🔗 https://cert-agid.gov.it/news/sload-torna-a-colpire-le-pec/
A seguito di ulteriori analisi, frutto della collaborazione tra il CERT-AGID e i gestori PEC, è stata rilevata una nuova campagna malspam tramite PEC, volta a veicolare il malware sLoad (v.4.3.3), a partire dalle prime ore del mattino della data odierna.
Per le azioni di contrasto relative a questa campagna si riportano gli #IoC individuati 👇
🔗 https://cert-agid.gov.it/news/sload-torna-a-colpire-le-pec/
Campagna #Ursnif veicolata tramite falsa comunicazione #MiTE (Ministero Transizione Ecologica)
📎 Allegato: ZIP + HTA
✉️ Oggetto email:
22/03/2023
Adattamento obbligatorio problema energetico in Italia, come si dovrà comportare la vostra impresa
23/03/2023
Adeguamento obbligatorio crisi energetica in Italia, come si dovrà comportare la vostra attività
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_MITE_22-23-03-2022.json_.txt
📎 Allegato: ZIP + HTA
✉️ Oggetto email:
22/03/2023
Adattamento obbligatorio problema energetico in Italia, come si dovrà comportare la vostra impresa
23/03/2023
Adeguamento obbligatorio crisi energetica in Italia, come si dovrà comportare la vostra attività
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_MITE_22-23-03-2022.json_.txt
Sintesi riepilogativa delle campagne malevole nella settimana del 18 – 25 marzo 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 788 indicatori di compromissione (IOC) individuati.
❗️ Emotet – nonostante il calo rispetto alla scorsa settimana (28 campagne) Emotet è ancora il malware che ricopre la prima posizione per campagne mirate contro l’Italia nell’ultimo mese. L’ipotesi che per la sua dinamicità e versatilità sia diventato lo “strumento” preferito di nuovi IAB comincia a farsi sempre più concreta.
💣 #IoC 788
🦠 #Malware 9 (famiglie)
🐟 #Phishing 8 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-25-marzo-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 788 indicatori di compromissione (IOC) individuati.
❗️ Emotet – nonostante il calo rispetto alla scorsa settimana (28 campagne) Emotet è ancora il malware che ricopre la prima posizione per campagne mirate contro l’Italia nell’ultimo mese. L’ipotesi che per la sua dinamicità e versatilità sia diventato lo “strumento” preferito di nuovi IAB comincia a farsi sempre più concreta.
💣 #IoC 788
🦠 #Malware 9 (famiglie)
🐟 #Phishing 8 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-25-marzo-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 18 – 25 marzo 2022
Sintesi riepilogativa delle campagne malevole nella settimana del 26 marzo – 1 aprile 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 38 campagne malevole, di cui 36 con obiettivi italiani e 2 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1018 indicatori di compromissione (IOC) individuati.
❗️ Emotet – per la terza settimana consecutiva le campagne Emotet mirate contro l’Italia rappresentano indubbiamente la minaccia più insidiosa per la Pubblica Amministrazione e per le strutture private. Sono state osservate in tutto 11 campagne a tema “Resend”, “Documenti” e “Pagamenti” con allegati ZIP contenenti documenti XLSM o XLS utilizzati per scaricare DLL Emotet (epoch5). Alcuni C2 di Emotet sono stati ospitati anche su hosting italiano..
💣 #IoC 1018
🦠 #Malware 10 (famiglie)
🐟 #Phishing 6 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-marzo-1-aprile-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 38 campagne malevole, di cui 36 con obiettivi italiani e 2 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1018 indicatori di compromissione (IOC) individuati.
❗️ Emotet – per la terza settimana consecutiva le campagne Emotet mirate contro l’Italia rappresentano indubbiamente la minaccia più insidiosa per la Pubblica Amministrazione e per le strutture private. Sono state osservate in tutto 11 campagne a tema “Resend”, “Documenti” e “Pagamenti” con allegati ZIP contenenti documenti XLSM o XLS utilizzati per scaricare DLL Emotet (epoch5). Alcuni C2 di Emotet sono stati ospitati anche su hosting italiano..
💣 #IoC 1018
🦠 #Malware 10 (famiglie)
🐟 #Phishing 6 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-marzo-1-aprile-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 26 marzo – 1 aprile 2022
Il CERT-AGID ha rilevato una applicazione per dispositivi Android con funzionalità di Trojan denominata "sicurezza-posteitaliane.apk" e finalizzata allo spionaggio remoto.
❗️ Trattasi di #SpyNote v.7.0 - proposto come app di sicurezza di #PosteItaliane - che dispone di un ampio set di funzionalità che consentono ai criminali di ottenere il controllo remoto del dispositivo Android compromesso:
- GPS
- Bluetooth
- Camera
- Microfono
- SMS
- Chiamate
- Contatti
Gli #IoC sono disponibili al seguente link:
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/spynote_posteitaliane_08-04-2022.json_.txt
❗️ Trattasi di #SpyNote v.7.0 - proposto come app di sicurezza di #PosteItaliane - che dispone di un ampio set di funzionalità che consentono ai criminali di ottenere il controllo remoto del dispositivo Android compromesso:
- GPS
- Bluetooth
- Camera
- Microfono
- SMS
- Chiamate
- Contatti
Gli #IoC sono disponibili al seguente link:
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/spynote_posteitaliane_08-04-2022.json_.txt
Sintesi riepilogativa delle campagne malevole nella settimana del 2 – 8 aprile 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 27 con obiettivi italiani e 1 generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 638 indicatori di compromissione (IOC) individuati.
❗️ Emotet – campagne in calo ma sempre attivi per il target Italia.
❗️ SpyNote – RAT per dispositivi Android finalizzata allo spionaggio remoto.
💣 #IoC 638
🦠 #Malware 9 (famiglie)
🐟 #Phishing 11 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-aprile-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 27 con obiettivi italiani e 1 generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 638 indicatori di compromissione (IOC) individuati.
❗️ Emotet – campagne in calo ma sempre attivi per il target Italia.
❗️ SpyNote – RAT per dispositivi Android finalizzata allo spionaggio remoto.
💣 #IoC 638
🦠 #Malware 9 (famiglie)
🐟 #Phishing 11 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-aprile-2022/
Rilevata una campagna di natura italiana volta a distribuire un APK in grado di rubare gli SMS ma soprattutto di fare screen sharing.
❗️ Il malware, che ha come target i dispositivi Android italiani, già individuato in Italia il 12 e 23 febbraio 2022 dal CERT-AGID, non è stato ancora rilevato da altri produttori antivirus, per tale motivo è stato battezzato con il nome di #SmsControllo v1.28
Da ulteriori analisi emerge che le attività del sample in esame sono in corso dal 24 febbraio 2022 ad oggi.
Gli #IoC sono disponibili al seguente link:
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/smscontrollo_11-04-2022.json_.txt
❗️ Il malware, che ha come target i dispositivi Android italiani, già individuato in Italia il 12 e 23 febbraio 2022 dal CERT-AGID, non è stato ancora rilevato da altri produttori antivirus, per tale motivo è stato battezzato con il nome di #SmsControllo v1.28
Da ulteriori analisi emerge che le attività del sample in esame sono in corso dal 24 febbraio 2022 ad oggi.
Gli #IoC sono disponibili al seguente link:
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/smscontrollo_11-04-2022.json_.txt
Campagna #sLoad indirizzata ad account #PEC con allegati ZIP e VBS
🛡 Il C2 è già stato utilizzato nella campagna contrastata il 21 marzo 2022 e risulta in blocco nel Flusso IoC del CERT-AGID a tutela delle PA accreditate.
Gli #IoC sono disponibili al seguente link:
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/sload_11-04-2022.json_.txt
🛡 Il C2 è già stato utilizzato nella campagna contrastata il 21 marzo 2022 e risulta in blocco nel Flusso IoC del CERT-AGID a tutela delle PA accreditate.
Gli #IoC sono disponibili al seguente link:
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/sload_11-04-2022.json_.txt
#Ursnif usa per la prima volta le proprietà del documento (doc) e le variabili d'ambiente per passare la dropurl
- shellcode (hex) 64bit -> DllLoaderShellcode
- shellcode (hex) 32bit -> DllLoaderShellcode
- dropurl (invertita)
Flusso di esecuzione tramite Macro:
Macro -> Shellcode -> RemoteDllLoader (embedded) -> Dropurl -> Run(Dll)
- shellcode (hex) 64bit -> DllLoaderShellcode
- shellcode (hex) 32bit -> DllLoaderShellcode
- dropurl (invertita)
Flusso di esecuzione tramite Macro:
Macro -> Shellcode -> RemoteDllLoader (embedded) -> Dropurl -> Run(Dll)
Ransomware "Spidey Bot" - Possibile test
- è scritto in batch
- genera una chiave numerica di tre numeri: tra 1 e 6 cifre ciascuno
- password generata con la bassa entropia di %random%
- invia tramite "curl" la chiave e lo username al C2 su Discord
- scarica un tool (lecito) AESCrypt ospitato su Dropbox
- cifra solo determinate cartelle dell'utente corrente
- rimuove i file originali, non li sovrascrive
- nella nota di riscatto mostra indirizzo BTC non valido
❗️NB:
- curl è presente di default solo su sistemi operativi Windows 10 o superiori
- la chiave viene inviata in chiaro ed è quindi rilevabile
- i file rimossi possono essere recuperati
- l'assenza di un reale indirizzo BTC e di un importo da pagare lascia presupporre si tratti di un test
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/spideybot_15-04-2022.json_.txt
- è scritto in batch
- genera una chiave numerica di tre numeri: tra 1 e 6 cifre ciascuno
- password generata con la bassa entropia di %random%
- invia tramite "curl" la chiave e lo username al C2 su Discord
- scarica un tool (lecito) AESCrypt ospitato su Dropbox
- cifra solo determinate cartelle dell'utente corrente
- rimuove i file originali, non li sovrascrive
- nella nota di riscatto mostra indirizzo BTC non valido
❗️NB:
- curl è presente di default solo su sistemi operativi Windows 10 o superiori
- la chiave viene inviata in chiaro ed è quindi rilevabile
- i file rimossi possono essere recuperati
- l'assenza di un reale indirizzo BTC e di un importo da pagare lascia presupporre si tratti di un test
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/spideybot_15-04-2022.json_.txt
Sintesi riepilogativa delle campagne malevole nella settimana del 9 – 15 aprile 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole, di cui 49 con obiettivi italiani e 2 generiche che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1257 indicatori di compromissione (IOC) individuati.
❗️ SmsControllo – v1.28 in grado di rubare SMS ed effettuare Screen Sharing.
❗️ SpideyBot – ransomware (possibile test) che utlizza Discord per memorizzare la chiave e lo username della macchina compromessa.
❗️ Ursnif - sfrutta una nuova tecnica di evasione.
💣 #IoC 1257
🦠 #Malware 11 (famiglie)
🐟 #Phishing 15 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-aprile-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole, di cui 49 con obiettivi italiani e 2 generiche che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1257 indicatori di compromissione (IOC) individuati.
❗️ SmsControllo – v1.28 in grado di rubare SMS ed effettuare Screen Sharing.
❗️ SpideyBot – ransomware (possibile test) che utlizza Discord per memorizzare la chiave e lo username della macchina compromessa.
❗️ Ursnif - sfrutta una nuova tecnica di evasione.
💣 #IoC 1257
🦠 #Malware 11 (famiglie)
🐟 #Phishing 15 (brand)
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-aprile-2022/
CERT-AGID ha rilevato che uno o più attori italiani sono coinvolti nella distribuzione di app malevole per il furto di SMS allo scopo di ottenere accesso ai codici 2FA.
ℹ️ I criminali stanno utilizzando il gestore di SMS opensource QKSMS modificato in modo da inviare gli SMS ricevuti al C2.
L'utilizzo di un'app lecita opensource fornisce ai criminali il vantaggio di aver un prodotto già pronto con cui ingannare le vittime.
❗️Prestare sempre particolare attenzione al proprio dispositivo quando questo presenta modifiche sulle applicazioni di sistema, inclusa quella relativa alla gestione degli SMS
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/smsgrab_21-04-2022.json_.txt
ℹ️ I criminali stanno utilizzando il gestore di SMS opensource QKSMS modificato in modo da inviare gli SMS ricevuti al C2.
L'utilizzo di un'app lecita opensource fornisce ai criminali il vantaggio di aver un prodotto già pronto con cui ingannare le vittime.
❗️Prestare sempre particolare attenzione al proprio dispositivo quando questo presenta modifiche sulle applicazioni di sistema, inclusa quella relativa alla gestione degli SMS
Gli #IoC sono disponibili al seguente link 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/smsgrab_21-04-2022.json_.txt