Cyber News

Nella settimana dal 2 all’8 novembre, il CERT-AGID ha identificato 41 campagne malevole in Italia, 26 delle quali mirate a obiettivi italiani e 15 di natura generica che hanno comunque coinvolto il territorio nazionale. Parallelamente, il CSIRT Italia ha pubblicato il report relativo ai dati rilevati durante la sua settimana cibernetica, tra cui la diffusione di un nuovo trojan bancario e una campagna malevola che sfrutta il tema dell’Agenzia per la Cybersicurezza Nazionale (ACN) per colpire gli utenti.

Temi principali delle campagne malevole in Italia

I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 20. Tra i principali:

1. Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
2. Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che distribuiscono i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
3. Avvisi di sicurezza – Argomento utilizzato in una campagna generica di phishing ai danni di AVG e in due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
4. Documenti – Tema sfruttato per una campagna di phishing generica ai danni di utenti Microsoft, per una italiana che simula una comunicazione di una Webmail e per una campagna italiana di phishing ai danni di utenti Telegram.

Gli altri temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi significativi:

• Malspam PEC: nuova ondata italiana di email PEC malevole per distribuire il malware Vidar tramite link al download di file VBS. CERT-AGID, insieme ai gestori PEC, ha attivato misure di contrasto.
• Phishing contro l’Università di Pisa: identificata una campagna di phishing che utilizza una falsa pagina con il logo dell’ateneo per sottrarre le credenziali di accesso degli utenti. La pagina fraudolenta è ospitata su un dominio Weebly. CERT-AGID ha condiviso gli indicatori di compromissione (IoC) e richiesto il takedown del sito fraudolento.
• Phishing su Telegram: scoperta una campagna di phishing italiana veicolata tramite chat Telegram che tenta di impossessarsi delle sessioni degli utenti. Le vittime ricevono messaggi che invitano a cliccare su un link. Dettagli sono stati diffusi sul canale Telegram ufficiale del CERT-AGID.

 Malware della settimana

Le famiglie di malware che hanno colpito il Paese sono state otto. Tra le campagne malware più rilevanti:

1. AgentTesla – Diffuso tramite email a tema “Ordine” e “Preventivo” con allegati ZIP e TAR.
2. FormBook – Rilevato in una campagna italiana a tema “Contratti”, diffuso tramite email con allegati IMG.
3. Vidar – Distribuito via PEC a tema “Pagamenti” con link al download di VBS.
4. Irata –Scoperta una campagna italiana a tema “Bankin” che veicola l’APK malevolo tramite SMS.
5. Remcos – diffuso tramite una campagna generica a tema “Ordine”, via email con allegato RAR.
6. VIPKeylogger – Diffuso tramite campagna italiana a tema “Ordine”, via email con allegato DOC.
7. BingoMod – Sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
8. Snake Keylogger – Distribuito tramite email a tema “Ordine” con allegato Z.

I brand sfruttati nelle campagne di phishing sono stati 17, con prevalenza per Aruba, Zimbra, Microsoft e Webmail generica.

Aggiornamenti dal CSIRT Italia

Il CSIRT Italia ha pubblicato il report delle notizie relative alla diffusione in Italia del nuovo trojan bancario denominato “ToxicPanda” e della campagna malevola che sfrutta il nome dell’Agenzia per la Cybersicurezza Nazionale (ACN), nonché di tutti gli aggiornamenti di sicurezza segnalati per diversi prodotti, tra cui Palo Alto Networks, Google, Synology, Veeam, Netgear, Cisco, Android, e QNAP. In particolare, è stato segnalato l’aumento di rischio per vulnerabilità (CVE) nei seguenti prodotti:

• Ivanti CSA: CVE-2024-8963
• IBM Operational Decision Manager: CVE-2024-22319
• Plugin WordPress “Paid Memberships Pro”: CVE-2023-23488 (PoC disponibile)

Raccomandazioni

CERT-AGID ha condiviso con gli enti accreditati 255 indicatori di compromissione per aiutare nella prevenzione e nel contrasto delle minacce. Il CSIRT Italia raccomanda di aggiornare i prodotti coinvolti per ridurre il rischio di attacchi.

Per maggiori dettagli, si rimanda ai seguenti link:

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/

https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-novembre-2024

L'articolo CERT-AGID e CSIRT Italia: minacce cibernetiche a novembre proviene da Rivista Cybersecurity Trends.

Amazon ha confermato una violazione dei dati che ha esposto informazioni di contatto dei suoi dipendenti a causa dell’attacco informatico MOVEit del maggio2023. L’azienda ha dichiarato che i dati sono stati rubati a un fornitore esterno di gestione immobiliare.

In una dichiarazione a TechCrunch, il portavoce di Amazon, Adam Montgomery, ha spiegato che i sistemi di Amazon e AWS non sono stati compromessi, ma sono stati informati di un “evento di sicurezza” che ha coinvolto uno dei loro fornitori. Le informazioni esposte includono indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli uffici dei dipendenti.

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli edifici”, ha affermato Montgomery.

Amazon non ha specificato quanti dipendenti siano stati colpiti dalla violazione, ma ha chiarito che il fornitore non aveva accesso a dati sensibili come numeri di previdenza sociale o informazioni finanziarie. La vulnerabilità che ha permesso la violazione è stata risolta dal fornitore.

La conferma arriva dopo che un autore di minacce, noto come “Nam3L3ss”, ha dichiarato di aver pubblicato i dati su BreachForums, un forum di hacking. Questo individuo sostiene di avere oltre 2,8 milioni di record di dati rubati, non solo da Amazon ma anche da altre 25 importanti organizzazioni.

La violazione è collegata agli attacchi del maggio 2023 al sistema di trasferimento file MOVEit di Progress Software, uno degli incidenti di cybersecurity più gravi dell’anno.

https://securityaffairs.com/170804/data-breach/amazon-employee-data-breach-may-2023-moveit-attacks.html

L'articolo Amazon conferma violazione dati dei dipendenti proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha individuato una campagna di phishing che sfrutta DocuSign, nota piattaforma largamente utilizzata per la firma elettronica e la gestione dei documenti digitali. In questa ondata di attacchi, i malintenzionati inviano email contraffatte contenenti allegati HTML appositamente progettati per rubare le credenziali degli utenti, consentendo agli aggressori di accedere ai loro account e alle informazioni sensibili.

Come avviene l’attacco

L’attacco comincia con un’email apparentemente autentica che invita gli utenti ad aprire un allegato HTML. Una volta aperto, si viene indirizzati a una pagina web contenente un modulo di login che imita fedelmente l’interfaccia di quello di DocuSign. L’obiettivo, come dedotto dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram gestito dai cybercriminali.

Perché DocuSign è un obiettivo interessante per i criminali informatici?

DocuSign è utilizzato da professionisti e aziende per firmare digitalmente contratti e documenti riservati. Con l’accesso a un account DocuSign, i criminali possono ottenere documenti riservati, contratti e informazioni personali per commettere frodi o creare contratti falsi. Inoltre, le credenziali trafugate possono essere vendute nel dark web, aumentando le possibilità di ulteriori abusi da parte di altri malintenzionati, aumentando ulteriormente il rischio per le vittime.

Il CERT-AGID ha prontamente emesso l’avviso pubblico e comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram utilizzato per la trasmissione delle credenziali. Tuttavia, gli hash del file HTML variano di volta in volta, poiché i truffatori personalizzano ogni file con l’indirizzo email del destinatario, rendendo più difficile il rilevamento automatico.

Per proteggersi da minacce come questa, il CERT-AGID raccomanda di rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati, prestare attenzione a comunicazioni sospette e adottare semplici precauzioni che possono fare la differenza nella salvaguardia delle informazioni personali e professionali.

https://cert-agid.gov.it/news/false-notifica-docusign-credenziali-trasmesse-a-bot-telegram/

L'articolo Phishing: falsa notifica DocuSign ruba credenziali proviene da Rivista Cybersecurity Trends.

Mozilla ha rilasciato una serie di aggiornamenti di sicurezza per il popolare client di posta elettronica Thunderbird, dopo aver individuato una vulnerabilità di gravità “alta” che potrebbe mettere a rischio la sicurezza degli utenti.

La vulnerabilità, identificata come CVE-2024-11159, è di tipo “Information Disclosure” e potrebbe permettere l’esposizione di informazioni sensibili se sfruttata da un malintenzionato.

Le versioni di Thunderbird interessate includono la 132.x, precedenti alla 132.0.1, e la 128.4.x, prima della 128.4.3. Gli utenti che utilizzano queste versioni sono quindi fortemente incoraggiati ad aggiornare tempestivamente il loro software per evitare potenziali rischi.

 Per mitigare il problema, Mozilla ha rilasciato gli aggiornamenti necessari e ha esortato tutti gli utenti di Thunderbird a seguire le istruzioni fornite nei bollettini di sicurezza. Il CSIRT Italia, in linea con le dichiarazioni del vendor, raccomanda di aggiornare i prodotti vulnerabili per evitare exploit.

https://www.csirt.gov.it/contenuti/mozilla-vulnerabilita-nel-software-thunderbird-al01-241114-csirt-ita

L'articolo Mozilla rilascia aggiornamenti per vulnerabilità in Thunderbird proviene da Rivista Cybersecurity Trends.

Sono state rilevate sei nuove vulnerabilità nei prodotti Zoom, tra cui due classificate come ad “alta gravità”. Queste vulnerabilità potrebbero consentire di ottenere privilegi elevati o di bypassare i meccanismi di sicurezza nelle istanze colpite.

Tipologia di vulnerabilità

• Elevazione di privilegi (Privilege Escalation)
• Bypass delle restrizioni di sicurezza

Prodotti e versioni interessate

Le vulnerabilità riguardano diverse versioni precedenti alla 6.2.0 dei seguenti prodotti Zoom:

• Meeting SDK for Android, versioni precedenti alla 6.2.0
• Meeting SDK for iOS, versioni precedenti alla 6.2.0
• Meeting SDK for Linux, versioni precedenti alla 6.2.0
• Meeting SDK for macOS, versioni precedenti alla 6.2.0
• Meeting SDK for Windows, versioni precedenti alla 6.2.0
• Rooms Client for iPad, versioni precedenti alla 6.2.0
• Rooms Client for macOS, versioni precedenti alla 6.2.0
• Rooms Client for Windows, versioni precedenti alla 6.2.0
• Rooms Controller for Android, versioni precedenti alla 6.2.0
• Rooms Controller for Linux, versioni precedenti alla 6.2.0
• Rooms Controller for macOS, versioni precedenti alla 6.2.0
• Rooms Controller for Windows, versioni precedenti alla 6.2.0
• Video SDK for Android, versioni precedenti alla 6.2.0
• Video SDK for iOS, versioni precedenti alla 6.2.0
• Video SDK for Linux, versioni precedenti alla 6.2.0
• Video SDK for macOS, versioni precedenti alla 6.2.0
• Video SDK for Windows, versioni precedenti alla 6.2.0
• Workplace App for Android, versioni precedenti alla 6.2.0
• Workplace App for iOS, versioni precedenti alla 6.2.0
• Workplace App for Linux, versioni precedenti alla 6.2.0
• Workplace App for macOS, versioni precedenti alla 6.2.0
• Workplace App for Windows, versioni precedenti alla 6.2.0
• Workplace VDI Client for Windows, versioni precedenti alla 6.1.12 (6.0.14 esclusa)

Il CSIRT Italia, in linea con le dichiarazioni del vendor, raccomanda di applicare le azioni di mitigazione fornite dal produttore, seguendo le istruzioni disponibili nel bollettino di sicurezza.

https://www.csirt.gov.it/contenuti/vulnerabilita-in-zoom-al04-241114-csirt-ita

L'articolo Zoom: scoperte 6 vulnerabilità proviene da Rivista Cybersecurity Trends.

Il CSIRT Italia ha rilevato un riacutizzarsi di una campagna di phishing a tema Hype, già trattata nel bollettino AL02/240925/CSIRT-ITA. Questo attacco informatico viene perpetrato tramite SMS, con l’obiettivo di sottrarre le credenziali d’accesso ai servizi bancari delle vittime.

L’SMS, che sembra provenire da una numerazione legittima, invita l’utente a cliccare su un link per verificare la propria identità sul portale del’’istituto finanziario al fine di evitare il blocco del conto bancario.

Se la vittima clicca sul link, dopo un breve “splash screen” che simula l’app mobile ufficiale, viene presentato un form di login falso per raccogliere le credenziali bancarie. Proseguendo con l’inserimento dei dati, l’utente riceve un messaggio di errore che afferma che il login non è andato a buon fine, con la rassicurazione di essere ricontattato da un operatore per risolvere il problema. Questo passaggio è spesso utilizzato per raccogliere ulteriori informazioni necessarie all’accesso sul sito dell’istituto di credito.

Per proteggersi da questi attacchi, il CSIRT Italia consiglia alle organizzazioni e agli utenti di adottare le seguenti misure:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Inoltre, si consiglia di implementare gli Indicatori di Compromissione (IoC) sui propri sistemi di sicurezza per monitorare eventuali attività malevole.

Per maggiori dettagli, è possibile consultare il bollettino completo sul sito ufficiale del CSIRT Italia.

https://www.csirt.gov.it/contenuti/smishing-nuova-campagna-a-tema-hype-al01-241115-csirt-ita

L'articolo CSIRT Italia avvisa: smishing a tema Hype proviene da Rivista Cybersecurity Trends.

Il malware Vidar ha ripreso a colpire le caselle di posta elettronica italiane, impiegando nuove tattiche e utilizzando come sorgente di attacco caselle PEC compromesse. L’obiettivo è sottrarre informazioni sensibili e credenziali.

In questa nuova campagna gli attaccanti hanno ripristinato l’uso di file VBS dai quali viene eseguito uno script PS1, e utilizzato oltre 100 domini distinti dai quali sono stati generati randomicamente un totale di quasi un migliaio di sottodomini per il download del file VBS.

Un aspetto significativo è che le URL per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi poi a partire dalla mattina del 18 novembre, suggerendo una pianificazione strategica degli aggressori che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

La strategia di lanciare una nuova campagna ogni domenica sembra essere ormai una tattica consolidata, probabilmente per colpire le vittime all’inizio della settimana lavorativa, quando sono più propensi a fidarsi delle nuove comunicazioni ricevute. Le PEC compromesse vengono utilizzate come veicolo per ingannare i destinatari, facendoli ritenere i messaggi legittimi e affidabili.

Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/

L'articolo Vidar attacca PEC italiane la domenica con nuove strategie proviene da Rivista Cybersecurity Trends.

È stata rilevata una nuova campagna di smishing che sfrutta indebitamente i nomi e i loghi riferibili ai servizi erogati dell’Istituto Nazionale della Previdenza Sociale (INPS), puntando a carpire dati sensibili degli utenti tramite SMS ingannevoli.

I malintenzionati inviano messaggi di testo che simulano comunicazioni ufficiali da parte di INPS, avvisando il destinatario della necessità di aggiornare il proprio profilo per evitare la sospensione dei benefici dell’Istituto.

Il testo diffuso è il seguente: “INPS INFORMA: Il tuo profilo INPS va aggiornato, rinnova i tuoi dati per evitare la sospensione da INPS, per continuare (link)”.

Qualora cliccato sul link, l’utente viene reindirizzato a una pagina web che replica l’aspetto dei portali ufficiali INPS, completa di loghi e riferimenti riconducibili ai servizi erogati da INPS. Qui, dopo aver inserito i parametri “nome” e “cognome” vengono presentate una serie di pagine malevole nelle quali si richiede di caricare documenti in formato digitale, quali carta di identità (fronte/retro) e persino un selfie con il documento visibile, per “confermare la corretta identità della vittima”.

Il CSIRT Italia raccomanda utenti e organizzazioni di verificare scrupolosamente le comunicazioni ricevute e attivare le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo.

Infine, raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)  forniti in allegato sito del CSIRT Italia al seguente link.

https://www.csirt.gov.it/contenuti/rilevata-nuova-campagna-di-smishing-a-tema-inps-al03-241120-csirt-ita

L'articolo Campagna di smishing: falsi SMS a nome INPS proviene da Rivista Cybersecurity Trends.

Inps Servizi S.P.A., società in house di INPS, ha subito un attacco ransomware che ha compromesso alcuni server, rendendo temporaneamente indisponibili alcuni applicativi gestionali e i dati forniti ai clienti. L’ente ha prontamente denunciato l’accaduto alle autorità competenti, secondo quanto riportato in una nota ufficiale.

Nonostante l’attacco, il Contact Center Multicanale, principale servizio di assistenza agli utenti, non è stato coinvolto e rimane operativo. Attualmente, sono in corso indagini per identificare i responsabili e ripristinare le infrastrutture compromesse in sicurezza.

Comunicazione di QuAS sull’Accaduto

Il sito di QuAS (Cassa Assistenza Sanitaria Quadri) che garantisce ai dipendenti “Quadro” assistenza sanitaria integrativa al Servizio sanitario nazionale, ha informato i propri utenti che Inps Servizi ha subito l’attacco ransomware il 18 novembre e precisato che i dati gestiti da Inps Servizi sono limitati al totale dei contributi aziendali, senza dettagli sui singoli dipendenti. Inoltre, ha dichiarato che l’attacco non ha avuto nessun effetto sui sistemi informatici di QuAS e che sono state avviate tutte le procedure necessarie, incluse le comunicazioni al Garante per la protezione dei dati personali.

Responsabilità dell’attacco

L’attacco sembrerebbe attribuibile al collettivo di criminal hacker Lynx. Al momento, il sito ufficiale di Inps Servizi (www.inpsservizi.it) risulta ancora inaccessibile.

Chi è Inps Servizi

Inps Servizi S.P.A., costituita l’11 giugno 2021, è una società per azioni in house providing interamente partecipata da INPS. La società fornisce servizi amministrativi, contabili e assistenziali a enti e casse previdenziali ed assistenziali pubblici e privati, oltre a gestire il Contact Center Multicanale per l’Istituto

https://www.rainews.it/articoli/2024/11/attacco-hacker-agli-archivi-di-inpsservizi-bloccati-alcuni-server-e-gli-applicativi-gestionali-e69705d8-3953-4967-adb6-833504956c5f.html

https://www.cybersecitalia.it/inps-servizi-s-p-a-sotto-scacco-da-un-ransomware/41204/

https://www.quas.it/Content/Index/POP UP

L'articolo Attacco ransomware a Inps Servizi proviene da Rivista Cybersecurity Trends.

L’INPS ha comunicato che l’attacco informatico subito da INPS Servizi SPA non ha avuto alcuna conseguenza sui sistemi e sulle funzionalità dell’Istituto, che sono pienamente operativi e non sono stati coinvolti nell’incidente. L’Istituto sta supportando INPS Servizi SPA per un rapido ripristino delle sue funzionalità.

“Non c’è stata nessuna conseguenza sui sistemi informatici di INPS a seguito dell’attacco hacker contro INPS Servizi SPA. Nella tarda giornata di ieri, INPS Servizi SPA ha correttamente comunicato, tramite una nota alle agenzie stampa, di essere stata oggetto di un violento attacco informatico.

L’Istituto precisa che INPS e INPS Servizi SPA sono due realtà distinte e rassicura cittadini e utenti che nessuna struttura informatica dell’INPS è stata interessata dall’attacco e che né le funzionalità né i sistemi dell’Istituto hanno subito compromissioni.

In queste ore INPS sta fornendo un attivo supporto tecnico e consulenziale per facilitare il rapido ripristino della piena operatività informatica di INPS Servizi SPA.”, si legge nel comunicato ufficiale di INPS.

https://www.inps.it/it/it/inps-comunica/notizie/dettaglio-news-page.news.2024.11.inps-nessuna-conseguenza-sui-nostri-sistemi-a-seguito-dell-attacco-hacker-contro-inps-servizi-spa.html

L'articolo INPS: nessuna conseguenza sui sistemi informatici proviene da Rivista Cybersecurity Trends.