In Italia qualcuno cerca di diffondere malware attraverso il dominio documenticertificati(.)com, che appare sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.
Lo comunica il CERT-PA in una nota, precisando che questo dominio non ha alcun legame con AgID e/o il circuito SPID. Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”. La mail dal titolo “Consegna documenti per (il nome della vittima)” riporta nel corpo le credenziali per scaricare la finta “pratica”. Una volta inserite, verrà proposto in download un file .zip contenente due malware: uno PE e l’altro JAR. Il dominio è registrato in Cina, mentre i server che lo ospitano sono negli Usa. Chiaramente è una campagna di phishing, basata sulla social engineering. La consegna dei documenti sono l’esca. Rafforzata dalla percepita sicurezza del sito e dall’autorevolezza dei loghi.
Il cyber esperto Giustozzi: La campagna di phishing ha sfruttato un malware creato per l’occasione e quindi invisibile agli antivirus al momento del suo avvio
La campagna di phishing in Italia “come al solito sfrutta un malware confezionato per l’occasione e quindi invisibile agli antivirus nel momento del suo avvio”. Lo ha spiegato a Difesa e Sicurezza Corrado Giustozzi, una delle massime autorità cybersecurity in Italia e – tra le altre cose – tra i responsabili del Computer Emergency Response Team della Pubblica Amministrazione (CERT-PA) di AgID, nonché membro del Permanent Stakeholders’ Group ENISA. “Comunque già nella serata di ieri il malware veniva riconosciuto da otto antivirus, i principali – ha aggiunto il cyber esperto -; credo che oggi lo riconoscano tutti”. In questo lasso di tempo, però, ci sono state delle vittime. Giustozzi ha confermato che il CERT-PA ha “evidenza diretta di una mezza dozzina di casi”. Ma non è escluso che possano essere di più.
Il post integrale del CERT-PA sulla campagna di phishing in Italia
