CERT-AgID

Nella settimana dal 2 all’8 novembre, il CERT-AGID ha identificato 41 campagne malevole in Italia, 26 delle quali mirate a obiettivi italiani e 15 di natura generica che hanno comunque coinvolto il territorio nazionale. Parallelamente, il CSIRT Italia ha pubblicato il report relativo ai dati rilevati durante la sua settimana cibernetica, tra cui la diffusione di un nuovo trojan bancario e una campagna malevola che sfrutta il tema dell’Agenzia per la Cybersicurezza Nazionale (ACN) per colpire gli utenti.

Temi principali delle campagne malevole in Italia

I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 20. Tra i principali:

1. Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
2. Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che distribuiscono i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
3. Avvisi di sicurezza – Argomento utilizzato in una campagna generica di phishing ai danni di AVG e in due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
4. Documenti – Tema sfruttato per una campagna di phishing generica ai danni di utenti Microsoft, per una italiana che simula una comunicazione di una Webmail e per una campagna italiana di phishing ai danni di utenti Telegram.

Gli altri temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi significativi:

• Malspam PEC: nuova ondata italiana di email PEC malevole per distribuire il malware Vidar tramite link al download di file VBS. CERT-AGID, insieme ai gestori PEC, ha attivato misure di contrasto.
• Phishing contro l’Università di Pisa: identificata una campagna di phishing che utilizza una falsa pagina con il logo dell’ateneo per sottrarre le credenziali di accesso degli utenti. La pagina fraudolenta è ospitata su un dominio Weebly. CERT-AGID ha condiviso gli indicatori di compromissione (IoC) e richiesto il takedown del sito fraudolento.
• Phishing su Telegram: scoperta una campagna di phishing italiana veicolata tramite chat Telegram che tenta di impossessarsi delle sessioni degli utenti. Le vittime ricevono messaggi che invitano a cliccare su un link. Dettagli sono stati diffusi sul canale Telegram ufficiale del CERT-AGID.

 Malware della settimana

Le famiglie di malware che hanno colpito il Paese sono state otto. Tra le campagne malware più rilevanti:

1. AgentTesla – Diffuso tramite email a tema “Ordine” e “Preventivo” con allegati ZIP e TAR.
2. FormBook – Rilevato in una campagna italiana a tema “Contratti”, diffuso tramite email con allegati IMG.
3. Vidar – Distribuito via PEC a tema “Pagamenti” con link al download di VBS.
4. Irata –Scoperta una campagna italiana a tema “Bankin” che veicola l’APK malevolo tramite SMS.
5. Remcos – diffuso tramite una campagna generica a tema “Ordine”, via email con allegato RAR.
6. VIPKeylogger – Diffuso tramite campagna italiana a tema “Ordine”, via email con allegato DOC.
7. BingoMod – Sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
8. Snake Keylogger – Distribuito tramite email a tema “Ordine” con allegato Z.

I brand sfruttati nelle campagne di phishing sono stati 17, con prevalenza per Aruba, Zimbra, Microsoft e Webmail generica.

Aggiornamenti dal CSIRT Italia

Il CSIRT Italia ha pubblicato il report delle notizie relative alla diffusione in Italia del nuovo trojan bancario denominato “ToxicPanda” e della campagna malevola che sfrutta il nome dell’Agenzia per la Cybersicurezza Nazionale (ACN), nonché di tutti gli aggiornamenti di sicurezza segnalati per diversi prodotti, tra cui Palo Alto Networks, Google, Synology, Veeam, Netgear, Cisco, Android, e QNAP. In particolare, è stato segnalato l’aumento di rischio per vulnerabilità (CVE) nei seguenti prodotti:

• Ivanti CSA: CVE-2024-8963
• IBM Operational Decision Manager: CVE-2024-22319
• Plugin WordPress “Paid Memberships Pro”: CVE-2023-23488 (PoC disponibile)

Raccomandazioni

CERT-AGID ha condiviso con gli enti accreditati 255 indicatori di compromissione per aiutare nella prevenzione e nel contrasto delle minacce. Il CSIRT Italia raccomanda di aggiornare i prodotti coinvolti per ridurre il rischio di attacchi.

Per maggiori dettagli, si rimanda ai seguenti link:

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/

https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-novembre-2024

L'articolo CERT-AGID e CSIRT Italia: minacce cibernetiche a novembre proviene da Rivista Cybersecurity Trends.

Il malware Vidar ha ripreso a colpire le caselle di posta elettronica italiane, impiegando nuove tattiche e utilizzando come sorgente di attacco caselle PEC compromesse. L’obiettivo è sottrarre informazioni sensibili e credenziali.

In questa nuova campagna gli attaccanti hanno ripristinato l’uso di file VBS dai quali viene eseguito uno script PS1, e utilizzato oltre 100 domini distinti dai quali sono stati generati randomicamente un totale di quasi un migliaio di sottodomini per il download del file VBS.

Un aspetto significativo è che le URL per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi poi a partire dalla mattina del 18 novembre, suggerendo una pianificazione strategica degli aggressori che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

La strategia di lanciare una nuova campagna ogni domenica sembra essere ormai una tattica consolidata, probabilmente per colpire le vittime all’inizio della settimana lavorativa, quando sono più propensi a fidarsi delle nuove comunicazioni ricevute. Le PEC compromesse vengono utilizzate come veicolo per ingannare i destinatari, facendoli ritenere i messaggi legittimi e affidabili.

Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/

L'articolo Vidar attacca PEC italiane la domenica con nuove strategie proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing che utilizza in modo fraudolento il logo e il nome del Ministero della Salute per truffare gli utenti, sottraendo loro dati personali e finanziari. A segnalarlo è il CERT-AGID, che ha evidenziato come i cybercriminali stiano inviando email fraudolente, apparentemente legittime, progettate per sembrare legittime, al fine di ingannare le vittime.

Le email invitano gli utenti a cliccare su un link che li conduce a una pagina web fraudolenta, dove viene richiesto di inserire dati personali per ricevere un presunto rimborso di €265,67 da parte del Servizio Sanitario Nazionale.

Dati personali sottratti

Le informazioni richieste comprendono nome, cognome, residenza, numero di telefono e dettagli della carta di credito. Una volta compilato i campi, la vittima viene indirizzate su una seconda pagina dove viene richiesto di inserire nuovamente i dati della carta di credito. Questa tattica è stata studiata dai cybercriminali per evitare da un lato errori di battitura, e dall’altro per ottenere eventualmente l’inserimento dei dati di una seconda carta.

Azioni intraprese e aggiornamenti

Il dominio utilizzato per la truffa è stato registrato di recente sulla piattaforma Namecheap. Il CERT-AGID ha attivato tutte le misure necessarie per contrastare la campagna, tra cui diffondendo gli IoC relativi, contattando il servizio di “abuse” di Namecheap e informando il Ministero della Salute.

In data 20 gennaio 2025, è stata rilevata un’ulteriore campagna che sfrutta le stesse modalità. I nuovi Indicatori di Compromissione sono stati immediatamente diramati, e il file di download disponibile per le organizzazioni accreditate è stato aggiornato.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sulla piattaforma ufficiale dell’ente, verificando attentamente l’indirizzo URL che compare nel browser e assicurandosi che presenti il dominio ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni ritenute dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it.

https://cert-agid.gov.it/news/false-comunicazioni-del-ministero-della-salute-sfruttate-per-phishing-finanziario/

L'articolo Phishing finanziario in corso: false email del Ministero della Salute proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha identificato una campagna di smishing attiva su due differenti domini che utilizza il nome e il logo dell’INPS per ingannare le vittime e ottenere dati personali e finanziari. Questo fenomeno, che persiste da circa due anni in Italia, continua a diffondersi attraverso SMS fraudolenti che simulano comunicazioni ufficiali.

Gli SMS invitano gli utenti a seguire un link per aggiornare le proprie informazioni, pena la sospensione dell’utenza. Esempio di messaggio fraudolento:

“Il tuo profilo INPS va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da INPS.”

Cliccando sul link, gli utenti vengono reindirizzati a un sito web falso, quasi identico al portale ufficiale dell’INPS. Qui vengono richiesti i seguenti documenti personali:

• carta d’identità (fronte e retro);
• tessera sanitaria (fronte e retro);
• patente di guida (fronte e retro);
• selfie con carta d’identità e patente di guida.

Al termine della procedura, le vittime ricevono un messaggio ingannevole che segnala un errore di identificazione, spingendole a reinserire nuovamente la carta d’identità e dei selfie.

I dati raccolti vengono sfruttati per mettere in atto diverse attività fraudolente. Uno degli obiettivi principali è la registrazione di un’identità SPID intestata alla vittima, un’operazione che , però, può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuto il controllo di una nuova identità SPID, i truffatori possono accedere ai servizi pubblici e compiere operazioni come modificare l’IBAN associato ai servizi di pagamento, dirottando così l’accreditamento dello stipendio o delle pensioni su conti correnti a loro disposizione. Inoltre, i documenti rubati possono essere venduti nel dark web, sfruttati per creare identità false o per eseguire ulteriori frodi.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi, diffidando di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

In merito a questo fenomeno, l’INPS ha già pubblicato avvisi per sensibilizzare i cittadini sul tema, ribadendo l’importanza di essere vigili e di non condividere mai dati personali attraverso canali non ufficiali.

https://cert-agid.gov.it/news/smishing-a-danno-di-inps-caccia-ai-documenti-personali-da-sfruttare-per-il-furto-di-identita/

L'articolo Smishing INPS: furto di identità e creazione di SPID falsi proviene da Rivista Cybersecurity Trends.

Una nuova campagna del malware Vidar è stata individuata negli ultimi giorni. L’attacco segue schemi già osservati in precedenti campagne, ma introduce nuove tecniche avanzate di offuscamento e l’impiego di Domain Generation Algorithm (DGA) per la generazione dinamica degli indirizzi malevoli.

L’attività malevola è stata rilevata intorno alla mezzanotte del 2 febbraio, con l’identificazione di 136 domini principali associati all’attacco. Come già accaduto in passato, gli URL utilizzati per diffondere il payload — un file JavaScript offuscato — sono inizialmente rimasti inattivi, per poi attivarsi solo nella mattinata successiva. Questa strategia consente agli attori della minaccia di sfuggire ai controlli preventivi e aumentare le probabilità di successo dell’infezione.

Un aspetto distintivo di questa nuova ondata è l’adozione di un metodo di offuscamento più elaborato. Il malware elabora la stringa di input suddividendola in una lista di numeri interi, che vengono poi decodificati tramite un’operazione XOR con un valore costante, restituendo infine il codice de-offuscato pronto per l’esecuzione, spiegano gli esperti di CERT-AGID. Questo rende più complessa l’analisi statica da parte degli strumenti di sicurezza automatizzati e ritarda il rilevamento del malware.

Oltre all’impiego di strategie per eludere i sistemi di sicurezza, come DGA e l’attivazione ritardata degli URL, gli esperti hanno rilevato una costante variazione del payload scaricato a seguito dell’infezione: Vidar, infatti, conduce di volta in volta al rilascio di un ulteriore malware afferente sempre a una famiglia diversa.

Le attività di contrasto sono state già avviate con il supporto dei Gestori PEC, e gli Indicatori di Compromissione (IoC) relativi alla campagna sono stati condivisi attraverso il Feed IoC del CERT-AGID con le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle email ricevute tramite PEC, soprattutto se contenenti link sospetti. In caso di dubbi, è possibile segnalare le email sospette all’indirizzo malware@cert-agid.gov.it per ulteriori verifiche.

https://cert-agid.gov.it/news/vidar-muta-ancora-payload-variabile-e-offuscamento-piu-raffinato-per-questa-nuova-ondata/

L'articolo Vidar evolve: nuova ondata con offuscamento avanzato proviene da Rivista Cybersecurity Trends.

Nella settimana dal 2 all’8 novembre, il CERT-AGID ha identificato 41 campagne malevole in Italia, 26 delle quali mirate a obiettivi italiani e 15 di natura generica che hanno comunque coinvolto il territorio nazionale. Parallelamente, il CSIRT Italia ha pubblicato il report relativo ai dati rilevati durante la sua settimana cibernetica, tra cui la diffusione di un nuovo trojan bancario e una campagna malevola che sfrutta il tema dell’Agenzia per la Cybersicurezza Nazionale (ACN) per colpire gli utenti.

Temi principali delle campagne malevole in Italia

I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 20. Tra i principali:

1. Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
2. Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che distribuiscono i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
3. Avvisi di sicurezza – Argomento utilizzato in una campagna generica di phishing ai danni di AVG e in due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
4. Documenti – Tema sfruttato per una campagna di phishing generica ai danni di utenti Microsoft, per una italiana che simula una comunicazione di una Webmail e per una campagna italiana di phishing ai danni di utenti Telegram.

Gli altri temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi significativi:

• Malspam PEC: nuova ondata italiana di email PEC malevole per distribuire il malware Vidar tramite link al download di file VBS. CERT-AGID, insieme ai gestori PEC, ha attivato misure di contrasto.
• Phishing contro l’Università di Pisa: identificata una campagna di phishing che utilizza una falsa pagina con il logo dell’ateneo per sottrarre le credenziali di accesso degli utenti. La pagina fraudolenta è ospitata su un dominio Weebly. CERT-AGID ha condiviso gli indicatori di compromissione (IoC) e richiesto il takedown del sito fraudolento.
• Phishing su Telegram: scoperta una campagna di phishing italiana veicolata tramite chat Telegram che tenta di impossessarsi delle sessioni degli utenti. Le vittime ricevono messaggi che invitano a cliccare su un link. Dettagli sono stati diffusi sul canale Telegram ufficiale del CERT-AGID.

 Malware della settimana

Le famiglie di malware che hanno colpito il Paese sono state otto. Tra le campagne malware più rilevanti:

1. AgentTesla – Diffuso tramite email a tema “Ordine” e “Preventivo” con allegati ZIP e TAR.
2. FormBook – Rilevato in una campagna italiana a tema “Contratti”, diffuso tramite email con allegati IMG.
3. Vidar – Distribuito via PEC a tema “Pagamenti” con link al download di VBS.
4. Irata –Scoperta una campagna italiana a tema “Bankin” che veicola l’APK malevolo tramite SMS.
5. Remcos – diffuso tramite una campagna generica a tema “Ordine”, via email con allegato RAR.
6. VIPKeylogger – Diffuso tramite campagna italiana a tema “Ordine”, via email con allegato DOC.
7. BingoMod – Sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
8. Snake Keylogger – Distribuito tramite email a tema “Ordine” con allegato Z.

I brand sfruttati nelle campagne di phishing sono stati 17, con prevalenza per Aruba, Zimbra, Microsoft e Webmail generica.

Aggiornamenti dal CSIRT Italia

Il CSIRT Italia ha pubblicato il report delle notizie relative alla diffusione in Italia del nuovo trojan bancario denominato “ToxicPanda” e della campagna malevola che sfrutta il nome dell’Agenzia per la Cybersicurezza Nazionale (ACN), nonché di tutti gli aggiornamenti di sicurezza segnalati per diversi prodotti, tra cui Palo Alto Networks, Google, Synology, Veeam, Netgear, Cisco, Android, e QNAP. In particolare, è stato segnalato l’aumento di rischio per vulnerabilità (CVE) nei seguenti prodotti:

• Ivanti CSA: CVE-2024-8963
• IBM Operational Decision Manager: CVE-2024-22319
• Plugin WordPress “Paid Memberships Pro”: CVE-2023-23488 (PoC disponibile)

Raccomandazioni

CERT-AGID ha condiviso con gli enti accreditati 255 indicatori di compromissione per aiutare nella prevenzione e nel contrasto delle minacce. Il CSIRT Italia raccomanda di aggiornare i prodotti coinvolti per ridurre il rischio di attacchi.

Per maggiori dettagli, si rimanda ai seguenti link:

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/

https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-novembre-2024

L'articolo CERT-AGID e CSIRT Italia: minacce cibernetiche a novembre proviene da Rivista Cybersecurity Trends.

Il malware Vidar ha ripreso a colpire le caselle di posta elettronica italiane, impiegando nuove tattiche e utilizzando come sorgente di attacco caselle PEC compromesse. L’obiettivo è sottrarre informazioni sensibili e credenziali.

In questa nuova campagna gli attaccanti hanno ripristinato l’uso di file VBS dai quali viene eseguito uno script PS1, e utilizzato oltre 100 domini distinti dai quali sono stati generati randomicamente un totale di quasi un migliaio di sottodomini per il download del file VBS.

Un aspetto significativo è che le URL per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi poi a partire dalla mattina del 18 novembre, suggerendo una pianificazione strategica degli aggressori che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

La strategia di lanciare una nuova campagna ogni domenica sembra essere ormai una tattica consolidata, probabilmente per colpire le vittime all’inizio della settimana lavorativa, quando sono più propensi a fidarsi delle nuove comunicazioni ricevute. Le PEC compromesse vengono utilizzate come veicolo per ingannare i destinatari, facendoli ritenere i messaggi legittimi e affidabili.

Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/

L'articolo Vidar attacca PEC italiane la domenica con nuove strategie proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing che utilizza in modo fraudolento il logo e il nome del Ministero della Salute per truffare gli utenti, sottraendo loro dati personali e finanziari. A segnalarlo è il CERT-AGID, che ha evidenziato come i cybercriminali stiano inviando email fraudolente, apparentemente legittime, progettate per sembrare legittime, al fine di ingannare le vittime.

Le email invitano gli utenti a cliccare su un link che li conduce a una pagina web fraudolenta, dove viene richiesto di inserire dati personali per ricevere un presunto rimborso di €265,67 da parte del Servizio Sanitario Nazionale.

Dati personali sottratti

Le informazioni richieste comprendono nome, cognome, residenza, numero di telefono e dettagli della carta di credito. Una volta compilato i campi, la vittima viene indirizzate su una seconda pagina dove viene richiesto di inserire nuovamente i dati della carta di credito. Questa tattica è stata studiata dai cybercriminali per evitare da un lato errori di battitura, e dall’altro per ottenere eventualmente l’inserimento dei dati di una seconda carta.

Azioni intraprese e aggiornamenti

Il dominio utilizzato per la truffa è stato registrato di recente sulla piattaforma Namecheap. Il CERT-AGID ha attivato tutte le misure necessarie per contrastare la campagna, tra cui diffondendo gli IoC relativi, contattando il servizio di “abuse” di Namecheap e informando il Ministero della Salute.

In data 20 gennaio 2025, è stata rilevata un’ulteriore campagna che sfrutta le stesse modalità. I nuovi Indicatori di Compromissione sono stati immediatamente diramati, e il file di download disponibile per le organizzazioni accreditate è stato aggiornato.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sulla piattaforma ufficiale dell’ente, verificando attentamente l’indirizzo URL che compare nel browser e assicurandosi che presenti il dominio ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni ritenute dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it.

https://cert-agid.gov.it/news/false-comunicazioni-del-ministero-della-salute-sfruttate-per-phishing-finanziario/

L'articolo Phishing finanziario in corso: false email del Ministero della Salute proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha identificato una campagna di smishing attiva su due differenti domini che utilizza il nome e il logo dell’INPS per ingannare le vittime e ottenere dati personali e finanziari. Questo fenomeno, che persiste da circa due anni in Italia, continua a diffondersi attraverso SMS fraudolenti che simulano comunicazioni ufficiali.

Gli SMS invitano gli utenti a seguire un link per aggiornare le proprie informazioni, pena la sospensione dell’utenza. Esempio di messaggio fraudolento:

“Il tuo profilo INPS va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da INPS.”

Cliccando sul link, gli utenti vengono reindirizzati a un sito web falso, quasi identico al portale ufficiale dell’INPS. Qui vengono richiesti i seguenti documenti personali:

• carta d’identità (fronte e retro);
• tessera sanitaria (fronte e retro);
• patente di guida (fronte e retro);
• selfie con carta d’identità e patente di guida.

Al termine della procedura, le vittime ricevono un messaggio ingannevole che segnala un errore di identificazione, spingendole a reinserire nuovamente la carta d’identità e dei selfie.

I dati raccolti vengono sfruttati per mettere in atto diverse attività fraudolente. Uno degli obiettivi principali è la registrazione di un’identità SPID intestata alla vittima, un’operazione che , però, può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuto il controllo di una nuova identità SPID, i truffatori possono accedere ai servizi pubblici e compiere operazioni come modificare l’IBAN associato ai servizi di pagamento, dirottando così l’accreditamento dello stipendio o delle pensioni su conti correnti a loro disposizione. Inoltre, i documenti rubati possono essere venduti nel dark web, sfruttati per creare identità false o per eseguire ulteriori frodi.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi, diffidando di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

In merito a questo fenomeno, l’INPS ha già pubblicato avvisi per sensibilizzare i cittadini sul tema, ribadendo l’importanza di essere vigili e di non condividere mai dati personali attraverso canali non ufficiali.

https://cert-agid.gov.it/news/smishing-a-danno-di-inps-caccia-ai-documenti-personali-da-sfruttare-per-il-furto-di-identita/

L'articolo Smishing INPS: furto di identità e creazione di SPID falsi proviene da Rivista Cybersecurity Trends.

Una nuova campagna del malware Vidar è stata individuata negli ultimi giorni. L’attacco segue schemi già osservati in precedenti campagne, ma introduce nuove tecniche avanzate di offuscamento e l’impiego di Domain Generation Algorithm (DGA) per la generazione dinamica degli indirizzi malevoli.

L’attività malevola è stata rilevata intorno alla mezzanotte del 2 febbraio, con l’identificazione di 136 domini principali associati all’attacco. Come già accaduto in passato, gli URL utilizzati per diffondere il payload — un file JavaScript offuscato — sono inizialmente rimasti inattivi, per poi attivarsi solo nella mattinata successiva. Questa strategia consente agli attori della minaccia di sfuggire ai controlli preventivi e aumentare le probabilità di successo dell’infezione.

Un aspetto distintivo di questa nuova ondata è l’adozione di un metodo di offuscamento più elaborato. Il malware elabora la stringa di input suddividendola in una lista di numeri interi, che vengono poi decodificati tramite un’operazione XOR con un valore costante, restituendo infine il codice de-offuscato pronto per l’esecuzione, spiegano gli esperti di CERT-AGID. Questo rende più complessa l’analisi statica da parte degli strumenti di sicurezza automatizzati e ritarda il rilevamento del malware.

Oltre all’impiego di strategie per eludere i sistemi di sicurezza, come DGA e l’attivazione ritardata degli URL, gli esperti hanno rilevato una costante variazione del payload scaricato a seguito dell’infezione: Vidar, infatti, conduce di volta in volta al rilascio di un ulteriore malware afferente sempre a una famiglia diversa.

Le attività di contrasto sono state già avviate con il supporto dei Gestori PEC, e gli Indicatori di Compromissione (IoC) relativi alla campagna sono stati condivisi attraverso il Feed IoC del CERT-AGID con le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle email ricevute tramite PEC, soprattutto se contenenti link sospetti. In caso di dubbi, è possibile segnalare le email sospette all’indirizzo malware@cert-agid.gov.it per ulteriori verifiche.

https://cert-agid.gov.it/news/vidar-muta-ancora-payload-variabile-e-offuscamento-piu-raffinato-per-questa-nuova-ondata/

L'articolo Vidar evolve: nuova ondata con offuscamento avanzato proviene da Rivista Cybersecurity Trends.