Sintesi riepilogativa delle campagne malevole nella settimana del 27 luglio – 2 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 35 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 396 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Sono state divulgate oltre 500.000 credenziali di utenti italiani (email, username, hash e salt della password) relative ad un databreach ai danni del sito multiplayer[.it
➡️ Campagne di phishing ai danni di #INPS, sfruttate per raccogliere informazioni personali tra cui dati anagrafici, documenti di riconoscimento, codice fiscale e IBAN
💣 #IoC 396
🦠 #Malware 8 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-luglio-2-agosto/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 35 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 396 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Sono state divulgate oltre 500.000 credenziali di utenti italiani (email, username, hash e salt della password) relative ad un databreach ai danni del sito multiplayer[.it
➡️ Campagne di phishing ai danni di #INPS, sfruttate per raccogliere informazioni personali tra cui dati anagrafici, documenti di riconoscimento, codice fiscale e IBAN
💣 #IoC 396
🦠 #Malware 8 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-luglio-2-agosto/
🇮🇹 Campagna di phishing #ATAC diffusa su #Facebook
⚠️ Rilevata una campagna di phishing, veicolata tramite una pagina #Facebook, che mira a sottrarre i dati della carta di credito, oltre a identificativi personali, numero di telefono e indirizzo di residenza.
🔎 I post ingannevoli presenti sul social network, fingendosi comunicazioni ufficiali dell'ente, promettono tessere annuali gratuite per usufruire dei mezzi pubblici della Capitale.
🚧 Il CERT-AGID ha già messo in atto tutte le azioni di contrasto del caso.
💣 Gli #IoC della campagna sono stati diramati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/phishing-ATAC_05-08-2024.json
⚠️ Rilevata una campagna di phishing, veicolata tramite una pagina #Facebook, che mira a sottrarre i dati della carta di credito, oltre a identificativi personali, numero di telefono e indirizzo di residenza.
🔎 I post ingannevoli presenti sul social network, fingendosi comunicazioni ufficiali dell'ente, promettono tessere annuali gratuite per usufruire dei mezzi pubblici della Capitale.
🚧 Il CERT-AGID ha già messo in atto tutte le azioni di contrasto del caso.
💣 Gli #IoC della campagna sono stati diramati attraverso il Flusso IoC del CERT-AGID a tutela delle organizzazioni accreditate.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/phishing-ATAC_05-08-2024.json
🇮🇹 Ritorna #Vidar in Italia con una campagna di malspam tramite #PEC
🕔 Campagna massiva avviata nella notte tra il 5 e il 6 agosto
🎯 Prese di mira email #PEC di Privati e della PA
⚔️ TTP
Template già noto per diffondere #Vidar attraverso account PEC precedentemente violati
🚧 Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
💣 Gli IoC dedicati sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e verso le strutture accreditate.
ℹ️ Ulteriori approfondimenti e #IoC👇
🔗 https://cert-agid.gov.it/news/ritorna-vidar-in-italia-con-una-campagna-di-malspam-tramite-pec/
🕔 Campagna massiva avviata nella notte tra il 5 e il 6 agosto
🎯 Prese di mira email #PEC di Privati e della PA
⚔️ TTP
Template già noto per diffondere #Vidar attraverso account PEC precedentemente violati
🚧 Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
💣 Gli IoC dedicati sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e verso le strutture accreditate.
ℹ️ Ulteriori approfondimenti e #IoC👇
🔗 https://cert-agid.gov.it/news/ritorna-vidar-in-italia-con-una-campagna-di-malspam-tramite-pec/
🇮🇹 Nuova campagna italiana #StrRat: disponibile una ricetta #CyberChef per decodificare il malware
ℹ️ Poiché tutte le informazioni utili relative al C2, alla porta e al URL per il download dei plugin, sono cifrate all’interno del file
💡 Il concetto è semplice:
➡️ la ricetta prende un input codificato in Base64
➡️ lo decodifica in esadecimale
➡️ pulisce il testo rimuovendo spazi bianchi
➡️ estrae la chiave e IV
➡️ deriva una chiave utilizzando PBKDF2
➡️ utilizza AES per decrittare i dati rimanenti
ℹ️ Ulteriori dettagli 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-italiana-strrat-disponibile-una-ricetta-cyberchef-per-decodificare-il-malware/
ℹ️ Poiché tutte le informazioni utili relative al C2, alla porta e al URL per il download dei plugin, sono cifrate all’interno del file
config.txt a corredo e la decodifica è stata già documentata, abbiamo creato una ricetta CyberChef che sfrutta funzioni avanzate per facilitare e accelerare il processo di decodifica.💡 Il concetto è semplice:
➡️ la ricetta prende un input codificato in Base64
➡️ lo decodifica in esadecimale
➡️ pulisce il testo rimuovendo spazi bianchi
➡️ estrae la chiave e IV
➡️ deriva una chiave utilizzando PBKDF2
➡️ utilizza AES per decrittare i dati rimanenti
ℹ️ Ulteriori dettagli 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-italiana-strrat-disponibile-una-ricetta-cyberchef-per-decodificare-il-malware/
Sintesi riepilogativa delle campagne malevole nella settimana del 3 – 9 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 54 campagne malevole, di cui 33 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 663 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di malspam volta a diffondere il malware #Vidar attraverso mail inviate da account PEC precedentemente violati.
➡️ Condivisi online oltre 330 milioni di indirizzi email acquisiti tramite #SOCRadar, una piattaforma di threat intelligence. L’azienda nega l’eventualità di un databreach.
💣 #IoC 663
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-03-09-agosto
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 54 campagne malevole, di cui 33 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 663 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di malspam volta a diffondere il malware #Vidar attraverso mail inviate da account PEC precedentemente violati.
➡️ Condivisi online oltre 330 milioni di indirizzi email acquisiti tramite #SOCRadar, una piattaforma di threat intelligence. L’azienda nega l’eventualità di un databreach.
💣 #IoC 663
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-03-09-agosto
🇮🇹 Campagna massiva #Quasar RAT mirata agli utenti italiani
⚠️ È stata rilevata una nuova campagna malware che sfrutta il trojan Quasar RAT, un evento insolito in Italia.
⚔️ Gli attaccanti stanno inviando email ingannevole con oggetto
💣 Indicatori di compromissione 👇
Al fine di rendere pubblici i dettagli del campione analizzato si riportano di seguito gli indicatori ricavati, già condivisi con le organizzazioni accreditate al Flusso #IoC del CERT-AGID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/quasar_16-08-2024.json
⚠️ È stata rilevata una nuova campagna malware che sfrutta il trojan Quasar RAT, un evento insolito in Italia.
⚔️ Gli attaccanti stanno inviando email ingannevole con oggetto
Pagamenti Fattura per convincere le vittime a scaricare un file eseguibile malevolo tramite il pulsante Scarica Fattura. Una volta avviato, il malware infetta il sistema, consentendo agli aggressori di prendere il controllo del dispositivo da remoto.💣 Indicatori di compromissione 👇
Al fine di rendere pubblici i dettagli del campione analizzato si riportano di seguito gli indicatori ricavati, già condivisi con le organizzazioni accreditate al Flusso #IoC del CERT-AGID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/quasar_16-08-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 10 – 16 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 16 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 357 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ È stata rilevata nel perimetro nazionale una nuova campagna massiva che veicola il trojan Quasar RAT, un evento insolito in Italia, tramite email fraudolente. Una volta lanciato il file eseguibile allegato, il malware compromette il sistema, permettendo ai criminali di ottenere il controllo remoto del dispositivo.
💣 #IoC 357
🦠 #Malware 6 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-agosto
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 16 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 357 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ È stata rilevata nel perimetro nazionale una nuova campagna massiva che veicola il trojan Quasar RAT, un evento insolito in Italia, tramite email fraudolente. Una volta lanciato il file eseguibile allegato, il malware compromette il sistema, permettendo ai criminali di ottenere il controllo remoto del dispositivo.
💣 #IoC 357
🦠 #Malware 6 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-agosto
🇮🇹 Cresce l’attività di #QuasarRAT (#BlotchyQuasar) contro gli utenti di istituti finanziari italiani
⚠️ Gli attacchi proseguono: nuove campagne in corso sfruttano loghi istituzionali, fingendosi comunicazioni ufficiali del Ministero dell’Interno per ingannare le vittime.
ℹ️ La versione del RAT impiegata questa settimana, la
🔓 Dopo la decodifica delle stringhe l’obiettivo risulta evidente: colpire gli utenti di specifiche banche italiane.
💣 Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/cresce-lattivita-di-quasar-rat-blotchyquasar-contro-gli-utenti-di-istituti-bancari-italiani/
⚠️ Gli attacchi proseguono: nuove campagne in corso sfruttano loghi istituzionali, fingendosi comunicazioni ufficiali del Ministero dell’Interno per ingannare le vittime.
ℹ️ La versione del RAT impiegata questa settimana, la
1.0.00.r6, è la stessa della settimana precedente. Anche i server C2 rimangono invariati, mentre sono cambiate le URL dei repository da cui vengono scaricati gli eseguibili.🔓 Dopo la decodifica delle stringhe l’obiettivo risulta evidente: colpire gli utenti di specifiche banche italiane.
💣 Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/cresce-lattivita-di-quasar-rat-blotchyquasar-contro-gli-utenti-di-istituti-bancari-italiani/
🇮🇹 Nuova campagna di malspam #Vidar diffusa tramite #PEC
🕔 Il 21 agosto 2024 è stata rilevata una nuova ondata di email malevole inviate attraverso PEC e mirate a diffondere il malware Vidar.
🎯 Questa campagna ha preso di mira le caselle PEC di privati e della Pubblica Amministrazione, sfruttando un modello di email che include un link per scaricare un file JavaScript malevolo, disponibile solo per utenti #Windows.
⚔️ Le PEC inviate utilizzano sottodomini diversi dello stesso dominio. Grazie alla collaborazione con i Gestori PEC sono state identificate centinaia di URL di repository da cui si ottiene un file #JavaScript con hash di volta in volta differente il cui deoffuscamento rimanda sempre alla stessa URL.
🚧 Le attività di contrasto sono state immediatamente attivate e gli Indicatori di Compromissione (IoC) sono stati diffusi tramite il Feed del CERT-AGID agli enti accreditati.
ℹ️ Maggiori dettagli e #IoC👇
https://cert-agid.gov.it/news/contrastata-nuova-campagna-vidar-diffusa-via-pec/
🕔 Il 21 agosto 2024 è stata rilevata una nuova ondata di email malevole inviate attraverso PEC e mirate a diffondere il malware Vidar.
🎯 Questa campagna ha preso di mira le caselle PEC di privati e della Pubblica Amministrazione, sfruttando un modello di email che include un link per scaricare un file JavaScript malevolo, disponibile solo per utenti #Windows.
⚔️ Le PEC inviate utilizzano sottodomini diversi dello stesso dominio. Grazie alla collaborazione con i Gestori PEC sono state identificate centinaia di URL di repository da cui si ottiene un file #JavaScript con hash di volta in volta differente il cui deoffuscamento rimanda sempre alla stessa URL.
🚧 Le attività di contrasto sono state immediatamente attivate e gli Indicatori di Compromissione (IoC) sono stati diffusi tramite il Feed del CERT-AGID agli enti accreditati.
ℹ️ Maggiori dettagli e #IoC👇
https://cert-agid.gov.it/news/contrastata-nuova-campagna-vidar-diffusa-via-pec/
🇮🇹 Campagna di #smishing ai danni di #INPS sfrutta un bot Telegram come C2
🎯 Rilevata una nuova campagna di smishing che mira a sottrarre dati sensibili degli utenti, tra cui informazioni relative alle carte di credito, nome, cognome e codice fiscale.
⚔️ La campagna è ben strutturata e utilizza un #bot #Telegram come C2 per raccogliere i dati rubati. Inoltre, il phishing tenta di aggirare l'autenticazione a due fattori, richiedendo alla vittima di comunicare l'SMS ricevuto dalla banca.
🚧 Le attività di contrasto sono state tempestivamente attivate e gli Indicatori di Compromissione (IoC) diffusi tramite il Feed del CERT-AGID.
ℹ️ Maggiori dettagli e #IoC👇
🔗 https://cert-agid.gov.it/news/nuovo-smishing-inps-sfrutta-un-bot-telegram-come-c2/
🎯 Rilevata una nuova campagna di smishing che mira a sottrarre dati sensibili degli utenti, tra cui informazioni relative alle carte di credito, nome, cognome e codice fiscale.
⚔️ La campagna è ben strutturata e utilizza un #bot #Telegram come C2 per raccogliere i dati rubati. Inoltre, il phishing tenta di aggirare l'autenticazione a due fattori, richiedendo alla vittima di comunicare l'SMS ricevuto dalla banca.
🚧 Le attività di contrasto sono state tempestivamente attivate e gli Indicatori di Compromissione (IoC) diffusi tramite il Feed del CERT-AGID.
ℹ️ Maggiori dettagli e #IoC👇
🔗 https://cert-agid.gov.it/news/nuovo-smishing-inps-sfrutta-un-bot-telegram-come-c2/
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 23 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 17 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1309 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam via #PEC che mira a diffondere il malware #Vidar. Le mail contengono un link per scaricare un file JS malevolo.
➡️ Campagna di smishing ai danni di #INPS con lo scopo di sottrarre dati sensibili degli utenti, tra cui dati di carte di credito. La campagna utilizza un bot Telegram per raccogliere i dati rubati.
💣 #IoC 1309
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-agosto
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 17 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1309 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam via #PEC che mira a diffondere il malware #Vidar. Le mail contengono un link per scaricare un file JS malevolo.
➡️ Campagna di smishing ai danni di #INPS con lo scopo di sottrarre dati sensibili degli utenti, tra cui dati di carte di credito. La campagna utilizza un bot Telegram per raccogliere i dati rubati.
💣 #IoC 1309
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-agosto
🇮🇹 Campagna di Phishing #AgenziaEntrate
⚠️ Rilevata email fraudolenta che finge di provenire dall'Agenzia delle Entrate. L'email informa il destinatario di un presunto rimborso e richiede di compilare un modulo per completare l'erogazione.
🎯 Lo scopo è quello di sottrarre dati della vittima e le coordinate bancarie.
ℹ️ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a 📨 malware@cert-agid.gov.it
💣 Indicatori di Compromissione 👇
Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AgID
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/agenzia-entrate_27-08-2024.json
⚠️ Rilevata email fraudolenta che finge di provenire dall'Agenzia delle Entrate. L'email informa il destinatario di un presunto rimborso e richiede di compilare un modulo per completare l'erogazione.
🎯 Lo scopo è quello di sottrarre dati della vittima e le coordinate bancarie.
ℹ️ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a 📨 malware@cert-agid.gov.it
💣 Indicatori di Compromissione 👇
Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AgID
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/08/agenzia-entrate_27-08-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 24 – 30 agosto 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 27 con obiettivi italiani e 20 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 438 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Campagna di phishing ai danni di #AgenziaDelleEntrate: l'email informa di un presunto rimborso e chiede le credenziale bancarie dell'utente per procedere con l'erogazione.
➡️ Nuove campagne di smishing #INPS finalizzate alla raccolta di dati personali come documenti di riconoscimento, iban e busta paga.
💣 #IoC 438
🦠 #Malware 7 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-24-30-agosto
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 27 con obiettivi italiani e 20 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 438 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Campagna di phishing ai danni di #AgenziaDelleEntrate: l'email informa di un presunto rimborso e chiede le credenziale bancarie dell'utente per procedere con l'erogazione.
➡️ Nuove campagne di smishing #INPS finalizzate alla raccolta di dati personali come documenti di riconoscimento, iban e busta paga.
💣 #IoC 438
🦠 #Malware 7 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-24-30-agosto
🇮🇹 Vidar insiste in Italia con campagne via PEC
⚠️ Rilevata la terza campagna malevola nel giro di un mese mirata a diffondere il malware #Vidar tramite email #PEC compromesse ed inviata ad altri indirizzi PEC.
🛡 Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC che hanno provveduto a bloccare oltre 12.000 indirizzi coinvolti nell’invio delle mail malevole.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/vidar-insiste-in-italia-con-campagne-via-pec/
⚠️ Rilevata la terza campagna malevola nel giro di un mese mirata a diffondere il malware #Vidar tramite email #PEC compromesse ed inviata ad altri indirizzi PEC.
🛡 Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC che hanno provveduto a bloccare oltre 12.000 indirizzi coinvolti nell’invio delle mail malevole.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/vidar-insiste-in-italia-con-campagne-via-pec/
⚠️ Campagna Microsoft SharePoint: sempre più frequente l'uso di bot Telegram per il phishing
🎯 Il CERT-AGID ha rilevato una campagna che sfrutta il tema #MicrosoftSharePoint per ingannare le vittime. Gli attaccanti utilizzano email con link a presunte fatture per ottenere le credenziali degli account Microsoft del malcapitato.
⚔️ La particolarità di questa campagna è, ancora una volta, l’uso di un bot #Telegram come centro di comando e controllo (C2). Le credenziali rubate vengono qui inviate sfruttando un'integrazione con le API di Telegram. Tale metodo rende più difficile l’individuazione dell’infrastruttura malevola e aggiunge un ulteriore livello di complessità all’attacco.
ℹ️ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a 📨 malware@cert-agid.gov.it
🚧 Gli #IoC sono stati diramati agli enti accreditati al Flusso IoC del CERT-AGID
💣 Indicatori di Compromissione 👇
https://cert-agid.gov.it/wp-content/uploads/2024/09/Phishing_Microsoft_05-09-2024.json
🎯 Il CERT-AGID ha rilevato una campagna che sfrutta il tema #MicrosoftSharePoint per ingannare le vittime. Gli attaccanti utilizzano email con link a presunte fatture per ottenere le credenziali degli account Microsoft del malcapitato.
⚔️ La particolarità di questa campagna è, ancora una volta, l’uso di un bot #Telegram come centro di comando e controllo (C2). Le credenziali rubate vengono qui inviate sfruttando un'integrazione con le API di Telegram. Tale metodo rende più difficile l’individuazione dell’infrastruttura malevola e aggiunge un ulteriore livello di complessità all’attacco.
ℹ️ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a 📨 malware@cert-agid.gov.it
🚧 Gli #IoC sono stati diramati agli enti accreditati al Flusso IoC del CERT-AGID
💣 Indicatori di Compromissione 👇
https://cert-agid.gov.it/wp-content/uploads/2024/09/Phishing_Microsoft_05-09-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 31 agosto – 6 settembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 40 campagne malevole, di cui 22 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 532 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Terza campagna malevola in un mese via #PEC che mira a diffondere il malware #Vidar. Le mail contengono un link per scaricare un file JS malevolo.
➡️ Nuova campagna phishing che utilizza un bot #Telegram come C2. Gli attaccanti sfruttano il tema #MicrosoftSharePoint per rubare credenziali tramite email fraudolente.
💣 #IoC 532
🦠 #Malware 7 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-31-agosto-6-settembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 40 campagne malevole, di cui 22 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 532 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Terza campagna malevola in un mese via #PEC che mira a diffondere il malware #Vidar. Le mail contengono un link per scaricare un file JS malevolo.
➡️ Nuova campagna phishing che utilizza un bot #Telegram come C2. Gli attaccanti sfruttano il tema #MicrosoftSharePoint per rubare credenziali tramite email fraudolente.
💣 #IoC 532
🦠 #Malware 7 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-31-agosto-6-settembre/
Sintesi riepilogativa delle campagne malevole nella settimana del 7 – 13 settembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 18 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 350 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuove campagne di phishing che utilizzano un bot #Telegram come centro di comando e controllo (C2).
➡️ Osservata una massiva campagna mirata a veicolare il malware AgentTesla attraverso email e link malevoli.
💣 #IoC 350
🦠 #Malware 8 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-7-13-settembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 18 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 350 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuove campagne di phishing che utilizzano un bot #Telegram come centro di comando e controllo (C2).
➡️ Osservata una massiva campagna mirata a veicolare il malware AgentTesla attraverso email e link malevoli.
💣 #IoC 350
🦠 #Malware 8 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-7-13-settembre/
🇮🇹 Il dominio italiano di Excite riutilizzato in una campagna di malspam via PEC
⚠️ Questo fine settimana è stata identificata e contrastata una campagna malevola che utilizzava alcuni account #PEC compromessi per colpire altri utenti del servizio di Posta Elettronica Certificata.
➡️ Questa volta il link punta ad una url sul vecchio dominio #Excite, noto portale italiano in voga negli anni ’90
⚔️ Fortunatamente, sia le URL identificate che il dominio principale non distribuiscono alcun payload, ma richiedono una basic authentication.
💣 Grazie alla fattiva collaborazione con i Gestori PEC, la campagna è stata contrastata e gli Indicatori di Compromissione (IoC) sono stati condivisi con le Pubbliche Amministrazioni accreditate al flusso #IoC, portando al blocco del dominio principale di Excite.
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/il-dominio-italiano-di-excite-riutilizzato-in-una-campagna-di-malspam-via-pec/
⚠️ Questo fine settimana è stata identificata e contrastata una campagna malevola che utilizzava alcuni account #PEC compromessi per colpire altri utenti del servizio di Posta Elettronica Certificata.
➡️ Questa volta il link punta ad una url sul vecchio dominio #Excite, noto portale italiano in voga negli anni ’90
⚔️ Fortunatamente, sia le URL identificate che il dominio principale non distribuiscono alcun payload, ma richiedono una basic authentication.
💣 Grazie alla fattiva collaborazione con i Gestori PEC, la campagna è stata contrastata e gli Indicatori di Compromissione (IoC) sono stati condivisi con le Pubbliche Amministrazioni accreditate al flusso #IoC, portando al blocco del dominio principale di Excite.
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/il-dominio-italiano-di-excite-riutilizzato-in-una-campagna-di-malspam-via-pec/
🇮🇹 Vidar compare ancora in una nuova campagna malspam che sfrutta le caselle PEC
⚠️ Gli autori della campagna che utilizzava il dominio italiano #Excite hanno riproposto lo stesso template via #PEC con link ad un dominio attivo che rilascia #JS per installare #Vidar
🦠 Questa è la quarta ondata che utilizza Vidar (la quinta se includiamo quella errata di ieri) che il CERT-AGID ha registrato nel 2024, tutte concentrate da agosto a oggi.
➡️ Perché gli autori di malware prediligono compromettere le PEC in Italia?
La falsa percezione di sicurezza, insieme al credo comune che la PEC sia immune da compromissioni, rende la Posta Elettronica Certificata un bersaglio privilegiato per attacchi informatici in Italia.
➡️ Azioni di contrasto
Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC.
➡️ Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/vidar-compare-ancora-in-una-nuova-campagna-malspam-che-sfrutta-le-caselle-pec/
⚠️ Gli autori della campagna che utilizzava il dominio italiano #Excite hanno riproposto lo stesso template via #PEC con link ad un dominio attivo che rilascia #JS per installare #Vidar
🦠 Questa è la quarta ondata che utilizza Vidar (la quinta se includiamo quella errata di ieri) che il CERT-AGID ha registrato nel 2024, tutte concentrate da agosto a oggi.
➡️ Perché gli autori di malware prediligono compromettere le PEC in Italia?
La falsa percezione di sicurezza, insieme al credo comune che la PEC sia immune da compromissioni, rende la Posta Elettronica Certificata un bersaglio privilegiato per attacchi informatici in Italia.
➡️ Azioni di contrasto
Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC.
➡️ Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/vidar-compare-ancora-in-una-nuova-campagna-malspam-che-sfrutta-le-caselle-pec/