๐ฉ ATTENZIONE - CAMPAGNA DI DIFFUSIONE MALWARE ๐ฉ
Stanno circolando insistentemente mail contenenti un malware (trojan) che pretendono di arrivare dall'Agenzia dell'Entrate o dall'Organizzazione Mondiale della Sanitร (come in questo caso).
L'allegato, cifrato per sfuggire ai sistemi di prootezione (antivirus), esegue una macro che scarica una DLL dall'URL
http://log.rstempler.com/officina.dll, contenente il trojan W32.Trojan.Valak (identificato anche come Trojan:Win32/Vigorf.A).
Per chi fosse curioso, potete guardare la simulazione su App.Any.Run => https://app.any.run/tasks/0d54d6a0-181b-4cdf-a63f-f21c808ca93e/
๐ NON CLICCARE SULL'ALLEGATO
#phishing #malware #email
Stanno circolando insistentemente mail contenenti un malware (trojan) che pretendono di arrivare dall'Agenzia dell'Entrate o dall'Organizzazione Mondiale della Sanitร (come in questo caso).
L'allegato, cifrato per sfuggire ai sistemi di prootezione (antivirus), esegue una macro che scarica una DLL dall'URL
http://log.rstempler.com/officina.dll, contenente il trojan W32.Trojan.Valak (identificato anche come Trojan:Win32/Vigorf.A).
Per chi fosse curioso, potete guardare la simulazione su App.Any.Run => https://app.any.run/tasks/0d54d6a0-181b-4cdf-a63f-f21c808ca93e/
๐ NON CLICCARE SULL'ALLEGATO
#phishing #malware #email
Forwarded from CERT-AgID
Campagna di #Phishing italiana ai danni di clienti #Poste segnalata da un utente in quanto ha osservato un redirect al CERT-AGID.
๐ฅ Autori italiani ๐ฎ๐น
โก๏ธ veicolata tramite #SMS con link utilizzando LinkedIn URL Shortener
โก๏ธ primo redirect al server di verifica User-Agent e IP
โก๏ธ se in blacklist viene effettuato un redirect alla home di Google o al CERT-AGID (clowns) altrimenti viene mostrata la pagina di Phishing Poste.
Anche per questa volta, come per il caso di BRATA, non siamo offesi ๐:
๐ฃ Gli #IoC sono disponibili al seguente link ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2022/10/phishing_poste_25-10-2022.json_.txt
๐ฅ Autori italiani ๐ฎ๐น
โก๏ธ veicolata tramite #SMS con link utilizzando LinkedIn URL Shortener
โก๏ธ primo redirect al server di verifica User-Agent e IP
โก๏ธ se in blacklist viene effettuato un redirect alla home di Google o al CERT-AGID (clowns) altrimenti viene mostrata la pagina di Phishing Poste.
Anche per questa volta, come per il caso di BRATA, non siamo offesi ๐:
๐ฃ Gli #IoC sono disponibili al seguente link ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2022/10/phishing_poste_25-10-2022.json_.txt
#phishing del giorno arrivato su gmail. La URL di destinazione dei vari link, che visualizzano una fasulla schermata di login Google
su https://cache.g.it-dedicated.sesion.bpcevent[.]com
Dominio http://bpcevent[.]com registrato su Register.it
su https://cache.g.it-dedicated.sesion.bpcevent[.]com
Dominio http://bpcevent[.]com registrato su Register.it
#phishing del giorno ai danni clienti Poste Italiane. Il link rimanda su eightfiversefs2.blogspot[.]com e, poi, su poste-itali2ne[.]com
https://urlscan.io/result/525ff80e-1232-4bd5-ab68-ae3fd94f615a/
https://urlscan.io/result/525ff80e-1232-4bd5-ab68-ae3fd94f615a/