Il CERT-AGID ha pubblicato il quadro sintetico sui numeri delle principali campagne malevole che hanno interessato l’Italia nel mese di giugno.
👾Quali sono stati i principali temi sfruttati per veicolare campagne di #malware e #phishing?
Scoprilo qui👉 https://cert-agid.gov.it/statistiche/
👾Quali sono stati i principali temi sfruttati per veicolare campagne di #malware e #phishing?
Scoprilo qui👉 https://cert-agid.gov.it/statistiche/
🚨 Nuove campagne di #phishing italiane a tema #FedEx 🚨
⚠️ Il CERT-AgID ha identificato email di phishing mirate agli utenti FedEx. Queste email cercano di rubare dati personali e finanziari con false comunicazioni di spedizione.
📧 Oggetto email: “Hai (1) pacco in attesa presso il centro di distribuzione FedEx!!”
➡️ Cliccando su “CONTINUA”, l’utente viene reindirizzato a URL fraudolente dove vengono richiesti nome, cognome, indirizzo, email, carta di credito e numero di telefono.
ℹ️ Ulteriori approfondimenti 👇
🔗https://cert-agid.gov.it/news/in-corso-campagne-di-phishing-italiane-a-tema-fedex/
⚠️ Il CERT-AgID ha identificato email di phishing mirate agli utenti FedEx. Queste email cercano di rubare dati personali e finanziari con false comunicazioni di spedizione.
📧 Oggetto email: “Hai (1) pacco in attesa presso il centro di distribuzione FedEx!!”
➡️ Cliccando su “CONTINUA”, l’utente viene reindirizzato a URL fraudolente dove vengono richiesti nome, cognome, indirizzo, email, carta di credito e numero di telefono.
ℹ️ Ulteriori approfondimenti 👇
🔗https://cert-agid.gov.it/news/in-corso-campagne-di-phishing-italiane-a-tema-fedex/
🇮🇹 Campagna #VCRuntime a tema #AgenziaEntrate via #PEC
✉️ Oggetto: notificare
ℹ️ La campagna è stata denominata #VCRuntime dal CERT-AGID in quanto il malware è ancora sconosciuto e le analisi sono in corso. Il nome deriva dai nomi dei file utilizzati per avviare la catena di compromissione.
⚔️ TTP:
Il link nell'email diffusa a mezzo PEC scarica un file ZIP che si presenta come Skype. All'interno del file ZIP si trova un file MSI, che, una volta eseguito, lancia un file JAR. A questo JAR vengono passati una chiave (KEY) e un file con una lunga lista di UUID. Questi UUID contengono informazioni cifrate necessarie per ottenere lo shellcode che verrà eseguito sul computer della vittima.
🛡Azioni di contrasto 👇
➡️ Coinvolti i Gestori #PEC interessati
➡️ Diramati #IoC verso le PA e verso i Gestori
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/vcruntime_agenziaentrate_05-07-2024.json
✉️ Oggetto: notificare
ℹ️ La campagna è stata denominata #VCRuntime dal CERT-AGID in quanto il malware è ancora sconosciuto e le analisi sono in corso. Il nome deriva dai nomi dei file utilizzati per avviare la catena di compromissione.
⚔️ TTP:
Il link nell'email diffusa a mezzo PEC scarica un file ZIP che si presenta come Skype. All'interno del file ZIP si trova un file MSI, che, una volta eseguito, lancia un file JAR. A questo JAR vengono passati una chiave (KEY) e un file con una lunga lista di UUID. Questi UUID contengono informazioni cifrate necessarie per ottenere lo shellcode che verrà eseguito sul computer della vittima.
🛡Azioni di contrasto 👇
➡️ Coinvolti i Gestori #PEC interessati
➡️ Diramati #IoC verso le PA e verso i Gestori
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/vcruntime_agenziaentrate_05-07-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 29 Giugno – 05 Luglio 2024
In questa settimana, il CERT-AgID ha riscontrato e analizzato un totale di 52 campagne malevole, di cui 35 mirate contro obiettivi italiani e 17 generiche. Sono stati identificati 522 indicatori di compromissione (IOC).
Eventi di particolare interesse:
➡️ Campagna italiana #VCRuntime che sfrutta il tema Agenzia delle Entrate per diffondere un malware ancora sconosciuto.
➡️ Data breach via Telegram che ha reso disponibili combolist contenenti quasi 2,5 milioni di credenziali (mail e password) di utenti italiani.
💣 #IoC 522
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-29-giugno-05-luglio-2024/
In questa settimana, il CERT-AgID ha riscontrato e analizzato un totale di 52 campagne malevole, di cui 35 mirate contro obiettivi italiani e 17 generiche. Sono stati identificati 522 indicatori di compromissione (IOC).
Eventi di particolare interesse:
➡️ Campagna italiana #VCRuntime che sfrutta il tema Agenzia delle Entrate per diffondere un malware ancora sconosciuto.
➡️ Data breach via Telegram che ha reso disponibili combolist contenenti quasi 2,5 milioni di credenziali (mail e password) di utenti italiani.
💣 #IoC 522
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-29-giugno-05-luglio-2024/
Sintesi riepilogativa delle campagne malevole nella settimana del 06 – 12 luglio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 25 con obiettivi italiani e 18 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 523 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagna di smishing italiana ben strutturata ai danni di INPS, sfruttata per raccogliere dati personali. Il numero di documenti rubati al momento supera le 300 unità.
➡️ Data breach Telegram attraverso il quale sono state rese disponibili combolist contenenti quasi 40 mila credenziali (mail e password) di utenti italiani.
💣 #IoC 523
🦠 #Malware 9 (famiglie)
🐟 #Phishing 18 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-06-12-luglio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 25 con obiettivi italiani e 18 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 523 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagna di smishing italiana ben strutturata ai danni di INPS, sfruttata per raccogliere dati personali. Il numero di documenti rubati al momento supera le 300 unità.
➡️ Data breach Telegram attraverso il quale sono state rese disponibili combolist contenenti quasi 40 mila credenziali (mail e password) di utenti italiani.
💣 #IoC 523
🦠 #Malware 9 (famiglie)
🐟 #Phishing 18 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-06-12-luglio-2024/
🇮🇹 Campagna di #Phishing a tema #MAECI
⚠️ Rilevato un sito di phishing che si spaccia per il portale ufficiale del Ministero degli Affari Esteri per ottenere il visto per l'Italia. Il sito fraudolento è progettato per rubare il numero del passaporto e le credenziali di accesso degli utenti.
ℹ️ Per la richiesta di visti e altre informazioni ufficiali, utilizzare solo il sito ufficiale del Ministero degli Affari Esteri: https://vistoperitalia.esteri.it/
🚧 Il CERT-AGID ha già provveduto ad allertare le Istituzioni interessate e messo in atto le azioni di contrasto per la dismissione della pagina di phishing.
💣 Gli #IoC della campagna sono stati pubblicati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/phishing-maeci_17-07-2024.json
🔄 La pagina di phishing è stata dismessa
⚠️ Rilevato un sito di phishing che si spaccia per il portale ufficiale del Ministero degli Affari Esteri per ottenere il visto per l'Italia. Il sito fraudolento è progettato per rubare il numero del passaporto e le credenziali di accesso degli utenti.
ℹ️ Per la richiesta di visti e altre informazioni ufficiali, utilizzare solo il sito ufficiale del Ministero degli Affari Esteri: https://vistoperitalia.esteri.it/
🚧 Il CERT-AGID ha già provveduto ad allertare le Istituzioni interessate e messo in atto le azioni di contrasto per la dismissione della pagina di phishing.
💣 Gli #IoC della campagna sono stati pubblicati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/phishing-maeci_17-07-2024.json
🔄 La pagina di phishing è stata dismessa
🇮🇹 Proseguono le campagne di #Phishing a tema #MAECI
⚠️ Il CERT-AGID ha rilevato un sito di phishing che mira a ingannare i dipendenti del Ministero degli Affari Esteri spacciandosi per la pagina dedicata al download del client #VPN utilizzato dall'Ente. Il sito fraudolento è progettato per rubare le credenziali di accesso degli utenti.
🚧 Il CERT-AGID ha già provveduto ad allertare le Istituzioni interessate e messo in atto le azioni di contrasto per la dismissione della pagina di phishing.
💣 Gli #IoC della campagna sono stati pubblicati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/phishing-maeci_17-07-2024-1.json
🔄 La pagina di phishing è stata dismessa
⚠️ Il CERT-AGID ha rilevato un sito di phishing che mira a ingannare i dipendenti del Ministero degli Affari Esteri spacciandosi per la pagina dedicata al download del client #VPN utilizzato dall'Ente. Il sito fraudolento è progettato per rubare le credenziali di accesso degli utenti.
🚧 Il CERT-AGID ha già provveduto ad allertare le Istituzioni interessate e messo in atto le azioni di contrasto per la dismissione della pagina di phishing.
💣 Gli #IoC della campagna sono stati pubblicati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/phishing-maeci_17-07-2024-1.json
🔄 La pagina di phishing è stata dismessa
⚠️ Problemi informatici globali in corso
Le prime analisi suggeriscono che l'origine del problema sia un malfunzionamento del software EDR dell'azienda di sicurezza informatica #CrowdStrike, conosciuto come Falcon Sensor, che pare abbia compromesso il funzionamento delle applicazioni in cloud dell'ecosistema Microsoft 365 con il suo sistema operativo.
Un aggiornamento difettoso di questo software ha causato l'inutilizzabilità di numerosi PC e server a livello mondiale, provocando la comparsa della schermata blu di errore di Windows (BSoD).
➡️ Un dirigente di CrowdStrike suggerisce di applicare un workaround per sbloccare in emergenza una postazione impattata dal problema.
La situazione è in continua evoluzione e attualmente sono in fase di studio soluzioni per risolvere il problema.
🔗 https://cert-agid.gov.it/news/problemi-informatici-globali-in-corso/
Le prime analisi suggeriscono che l'origine del problema sia un malfunzionamento del software EDR dell'azienda di sicurezza informatica #CrowdStrike, conosciuto come Falcon Sensor, che pare abbia compromesso il funzionamento delle applicazioni in cloud dell'ecosistema Microsoft 365 con il suo sistema operativo.
Un aggiornamento difettoso di questo software ha causato l'inutilizzabilità di numerosi PC e server a livello mondiale, provocando la comparsa della schermata blu di errore di Windows (BSoD).
➡️ Un dirigente di CrowdStrike suggerisce di applicare un workaround per sbloccare in emergenza una postazione impattata dal problema.
La situazione è in continua evoluzione e attualmente sono in fase di studio soluzioni per risolvere il problema.
🔗 https://cert-agid.gov.it/news/problemi-informatici-globali-in-corso/
Attenzione alle soluzioni alternative per aggirare il problema
Il CERT continua a monitorare le implicazioni e gli impatti dell'incidente informatico che ha causato un down massivo di servizi e sistemi legati a #Microsoft e #CrowdStrike questa mattina.
⚠️ È stato osservato che utenti malintenzionati stanno diffondendo false procedure di workaround tramite canali social, includendo link a siti malevoli o ingannevoli.
💣 Per proteggere la propria constituency da questo ulteriore rischio, il CERT sta fornendo tramite il proprio feed gli #IoC relativi a questi siti malevoli.
📌 Consigliamo vivamente di non seguire siti o canali non verificati per risolvere il problema, ma di fare riferimento esclusivamente alle istruzioni fornite dai canali ufficiali:
➡️ https://status.cloud.microsoft/
➡️ https://azure.status.microsoft/en-gb/status
➡️ https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
🔄 Per ulteriori aggiornamenti 👇
🔗 https://cert-agid.gov.it/news/problemi-informatici-globali-in-corso/
Il CERT continua a monitorare le implicazioni e gli impatti dell'incidente informatico che ha causato un down massivo di servizi e sistemi legati a #Microsoft e #CrowdStrike questa mattina.
⚠️ È stato osservato che utenti malintenzionati stanno diffondendo false procedure di workaround tramite canali social, includendo link a siti malevoli o ingannevoli.
💣 Per proteggere la propria constituency da questo ulteriore rischio, il CERT sta fornendo tramite il proprio feed gli #IoC relativi a questi siti malevoli.
📌 Consigliamo vivamente di non seguire siti o canali non verificati per risolvere il problema, ma di fare riferimento esclusivamente alle istruzioni fornite dai canali ufficiali:
➡️ https://status.cloud.microsoft/
➡️ https://azure.status.microsoft/en-gb/status
➡️ https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
🔄 Per ulteriori aggiornamenti 👇
🔗 https://cert-agid.gov.it/news/problemi-informatici-globali-in-corso/
Sintesi riepilogativa delle campagne malevole nella settimana del 13 – 19 luglio 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 36 campagne malevole, di cui 23 con obiettivi italiani e 13 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 393 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Due campagne di phishing ai danni del #MAECI a tema "Visto" e "VPN Farnesina".
➡️ Un aggiornamento difettoso di #CrowdStrike ha reso inutilizzabili numerosi PC e server #Windows a livello mondiale, colpendo compagnie aeree, aeroporti, banche, borse, ospedali ed emittenti televisive.
💣 #IoC 393
🦠 #Malware 9 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-luglio-2024/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 36 campagne malevole, di cui 23 con obiettivi italiani e 13 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 393 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Due campagne di phishing ai danni del #MAECI a tema "Visto" e "VPN Farnesina".
➡️ Un aggiornamento difettoso di #CrowdStrike ha reso inutilizzabili numerosi PC e server #Windows a livello mondiale, colpendo compagnie aeree, aeroporti, banche, borse, ospedali ed emittenti televisive.
💣 #IoC 393
🦠 #Malware 9 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-luglio-2024/
➡️ #CrowdStrike ha rilevato e pubblicato in giornata un elenco di domini creati ad-hoc che impersonano il proprio marchio e che potrebbero essere utilizzati per future operazioni di social engineering.
➡️ È emerso che l’incidente #CrowdStrike è stato sfruttato per distribuire il malware #RemcosRAT partendo da un archivio ZIP denominato "crowdstrike-hotfix".
ℹ️ Il CERT-AGID sta aggiornando costantemente il Flusso di #IoC da inviare alle pubbliche amministrazioni accreditate.
🔄 Per ulteriori aggiornamenti 👇
🔗 https://cert-agid.gov.it/news/problemi-informatici-globali-in-corso/
➡️ È emerso che l’incidente #CrowdStrike è stato sfruttato per distribuire il malware #RemcosRAT partendo da un archivio ZIP denominato "crowdstrike-hotfix".
ℹ️ Il CERT-AGID sta aggiornando costantemente il Flusso di #IoC da inviare alle pubbliche amministrazioni accreditate.
🔄 Per ulteriori aggiornamenti 👇
🔗 https://cert-agid.gov.it/news/problemi-informatici-globali-in-corso/
🇮🇹 Campagna di #Phishing PEC "Intesa San Paolo"
⚠️ Rilevata una campagna di phishing, veicolata tramite PEC, che mira a sottrarre le credenziali di accesso all'home banking di clienti di #IntesaSanPaolo, oltre ai dati della carta di credito.
🚧 Il CERT-AGID ha già messo in atto le azioni di contrasto necessarie all'interruzione dell'invio dei messaggi PEC malevoli.
💣 Gli #IoC della campagna sono stati pubblicati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/phishing-IntesaSanPaolo_26-07-2024.json
⚠️ Rilevata una campagna di phishing, veicolata tramite PEC, che mira a sottrarre le credenziali di accesso all'home banking di clienti di #IntesaSanPaolo, oltre ai dati della carta di credito.
🚧 Il CERT-AGID ha già messo in atto le azioni di contrasto necessarie all'interruzione dell'invio dei messaggi PEC malevoli.
💣 Gli #IoC della campagna sono stati pubblicati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/07/phishing-IntesaSanPaolo_26-07-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 20 – 26 luglio 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 21 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 344 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Continuano le campagne di smishing ai danni di INPS per raccogliere dati personali come carta di identità, codice fiscale, patente, iban e busta paga.
➡️ Nuove combolists contenenti credenziali di utenti italiani (mail e password in chiaro) sono state diffuse su canali #Telegram.
💣 #IoC 344
🦠 #Malware 6 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-luglio/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 21 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 344 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Continuano le campagne di smishing ai danni di INPS per raccogliere dati personali come carta di identità, codice fiscale, patente, iban e busta paga.
➡️ Nuove combolists contenenti credenziali di utenti italiani (mail e password in chiaro) sono state diffuse su canali #Telegram.
💣 #IoC 344
🦠 #Malware 6 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-luglio/
Sintesi riepilogativa delle campagne malevole nella settimana del 27 luglio – 2 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 35 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 396 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Sono state divulgate oltre 500.000 credenziali di utenti italiani (email, username, hash e salt della password) relative ad un databreach ai danni del sito multiplayer[.it
➡️ Campagne di phishing ai danni di #INPS, sfruttate per raccogliere informazioni personali tra cui dati anagrafici, documenti di riconoscimento, codice fiscale e IBAN
💣 #IoC 396
🦠 #Malware 8 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-luglio-2-agosto/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 35 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 396 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Sono state divulgate oltre 500.000 credenziali di utenti italiani (email, username, hash e salt della password) relative ad un databreach ai danni del sito multiplayer[.it
➡️ Campagne di phishing ai danni di #INPS, sfruttate per raccogliere informazioni personali tra cui dati anagrafici, documenti di riconoscimento, codice fiscale e IBAN
💣 #IoC 396
🦠 #Malware 8 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-luglio-2-agosto/
🇮🇹 Campagna di phishing #ATAC diffusa su #Facebook
⚠️ Rilevata una campagna di phishing, veicolata tramite una pagina #Facebook, che mira a sottrarre i dati della carta di credito, oltre a identificativi personali, numero di telefono e indirizzo di residenza.
🔎 I post ingannevoli presenti sul social network, fingendosi comunicazioni ufficiali dell'ente, promettono tessere annuali gratuite per usufruire dei mezzi pubblici della Capitale.
🚧 Il CERT-AGID ha già messo in atto tutte le azioni di contrasto del caso.
💣 Gli #IoC della campagna sono stati diramati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/phishing-ATAC_05-08-2024.json
⚠️ Rilevata una campagna di phishing, veicolata tramite una pagina #Facebook, che mira a sottrarre i dati della carta di credito, oltre a identificativi personali, numero di telefono e indirizzo di residenza.
🔎 I post ingannevoli presenti sul social network, fingendosi comunicazioni ufficiali dell'ente, promettono tessere annuali gratuite per usufruire dei mezzi pubblici della Capitale.
🚧 Il CERT-AGID ha già messo in atto tutte le azioni di contrasto del caso.
💣 Gli #IoC della campagna sono stati diramati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/phishing-ATAC_05-08-2024.json
🇮🇹 Ritorna #Vidar in Italia con una campagna di malspam tramite #PEC
🕔 Campagna massiva avviata nella notte tra il 5 e il 6 agosto
🎯 Prese di mira email #PEC di Privati e della PA
⚔️ TTP
Template già noto per diffondere #Vidar attraverso account PEC precedentemente violati
🚧 Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
💣 Gli IoC dedicati sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e verso le strutture accreditate.
ℹ️ Ulteriori approfondimenti e #IoC👇
🔗 https://cert-agid.gov.it/news/ritorna-vidar-in-italia-con-una-campagna-di-malspam-tramite-pec/
🕔 Campagna massiva avviata nella notte tra il 5 e il 6 agosto
🎯 Prese di mira email #PEC di Privati e della PA
⚔️ TTP
Template già noto per diffondere #Vidar attraverso account PEC precedentemente violati
🚧 Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
💣 Gli IoC dedicati sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e verso le strutture accreditate.
ℹ️ Ulteriori approfondimenti e #IoC👇
🔗 https://cert-agid.gov.it/news/ritorna-vidar-in-italia-con-una-campagna-di-malspam-tramite-pec/
🇮🇹 Nuova campagna italiana #StrRat: disponibile una ricetta #CyberChef per decodificare il malware
ℹ️ Poiché tutte le informazioni utili relative al C2, alla porta e al URL per il download dei plugin, sono cifrate all’interno del file
💡 Il concetto è semplice:
➡️ la ricetta prende un input codificato in Base64
➡️ lo decodifica in esadecimale
➡️ pulisce il testo rimuovendo spazi bianchi
➡️ estrae la chiave e IV
➡️ deriva una chiave utilizzando PBKDF2
➡️ utilizza AES per decrittare i dati rimanenti
ℹ️ Ulteriori dettagli 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-italiana-strrat-disponibile-una-ricetta-cyberchef-per-decodificare-il-malware/
ℹ️ Poiché tutte le informazioni utili relative al C2, alla porta e al URL per il download dei plugin, sono cifrate all’interno del file
config.txt a corredo e la decodifica è stata già documentata, abbiamo creato una ricetta CyberChef che sfrutta funzioni avanzate per facilitare e accelerare il processo di decodifica.💡 Il concetto è semplice:
➡️ la ricetta prende un input codificato in Base64
➡️ lo decodifica in esadecimale
➡️ pulisce il testo rimuovendo spazi bianchi
➡️ estrae la chiave e IV
➡️ deriva una chiave utilizzando PBKDF2
➡️ utilizza AES per decrittare i dati rimanenti
ℹ️ Ulteriori dettagli 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-italiana-strrat-disponibile-una-ricetta-cyberchef-per-decodificare-il-malware/
Sintesi riepilogativa delle campagne malevole nella settimana del 3 – 9 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 54 campagne malevole, di cui 33 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 663 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di malspam volta a diffondere il malware #Vidar attraverso mail inviate da account PEC precedentemente violati.
➡️ Condivisi online oltre 330 milioni di indirizzi email acquisiti tramite #SOCRadar, una piattaforma di threat intelligence. L’azienda nega l’eventualità di un databreach.
💣 #IoC 663
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-03-09-agosto
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 54 campagne malevole, di cui 33 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 663 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di malspam volta a diffondere il malware #Vidar attraverso mail inviate da account PEC precedentemente violati.
➡️ Condivisi online oltre 330 milioni di indirizzi email acquisiti tramite #SOCRadar, una piattaforma di threat intelligence. L’azienda nega l’eventualità di un databreach.
💣 #IoC 663
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-03-09-agosto
🇮🇹 Campagna massiva #Quasar RAT mirata agli utenti italiani
⚠️ È stata rilevata una nuova campagna malware che sfrutta il trojan Quasar RAT, un evento insolito in Italia.
⚔️ Gli attaccanti stanno inviando email ingannevole con oggetto
💣 Indicatori di compromissione 👇
Al fine di rendere pubblici i dettagli del campione analizzato si riportano di seguito gli indicatori ricavati, già condivisi con le organizzazioni accreditate al Flusso #IoC del CERT-AGID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/quasar_16-08-2024.json
⚠️ È stata rilevata una nuova campagna malware che sfrutta il trojan Quasar RAT, un evento insolito in Italia.
⚔️ Gli attaccanti stanno inviando email ingannevole con oggetto
Pagamenti Fattura per convincere le vittime a scaricare un file eseguibile malevolo tramite il pulsante Scarica Fattura. Una volta avviato, il malware infetta il sistema, consentendo agli aggressori di prendere il controllo del dispositivo da remoto.💣 Indicatori di compromissione 👇
Al fine di rendere pubblici i dettagli del campione analizzato si riportano di seguito gli indicatori ricavati, già condivisi con le organizzazioni accreditate al Flusso #IoC del CERT-AGID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/quasar_16-08-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 10 – 16 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 16 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 357 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ È stata rilevata nel perimetro nazionale una nuova campagna massiva che veicola il trojan Quasar RAT, un evento insolito in Italia, tramite email fraudolente. Una volta lanciato il file eseguibile allegato, il malware compromette il sistema, permettendo ai criminali di ottenere il controllo remoto del dispositivo.
💣 #IoC 357
🦠 #Malware 6 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-agosto
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 16 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 357 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ È stata rilevata nel perimetro nazionale una nuova campagna massiva che veicola il trojan Quasar RAT, un evento insolito in Italia, tramite email fraudolente. Una volta lanciato il file eseguibile allegato, il malware compromette il sistema, permettendo ai criminali di ottenere il controllo remoto del dispositivo.
💣 #IoC 357
🦠 #Malware 6 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-agosto
🇮🇹 Cresce l’attività di #QuasarRAT (#BlotchyQuasar) contro gli utenti di istituti finanziari italiani
⚠️ Gli attacchi proseguono: nuove campagne in corso sfruttano loghi istituzionali, fingendosi comunicazioni ufficiali del Ministero dell’Interno per ingannare le vittime.
ℹ️ La versione del RAT impiegata questa settimana, la
🔓 Dopo la decodifica delle stringhe l’obiettivo risulta evidente: colpire gli utenti di specifiche banche italiane.
💣 Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/cresce-lattivita-di-quasar-rat-blotchyquasar-contro-gli-utenti-di-istituti-bancari-italiani/
⚠️ Gli attacchi proseguono: nuove campagne in corso sfruttano loghi istituzionali, fingendosi comunicazioni ufficiali del Ministero dell’Interno per ingannare le vittime.
ℹ️ La versione del RAT impiegata questa settimana, la
1.0.00.r6, è la stessa della settimana precedente. Anche i server C2 rimangono invariati, mentre sono cambiate le URL dei repository da cui vengono scaricati gli eseguibili.🔓 Dopo la decodifica delle stringhe l’obiettivo risulta evidente: colpire gli utenti di specifiche banche italiane.
💣 Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/cresce-lattivita-di-quasar-rat-blotchyquasar-contro-gli-utenti-di-istituti-bancari-italiani/