Il cybercrime attacca la Pubblica Amministrazione in Italia con falsi update VPN

Italia Certpa Cybersecurity Infosec Malware Vpn Spearphishing Rat Mjrat Bladabindi PubblicaAmministrazione Cybercrime Infosec Sicurezzainformatica

Il cybercrime usa l’esca delle VPN per gli attacchi informatici contro enti della Pubblica Amministrazione in Italia. Obiettivo: incolulare un malware, il RAT Mjrat (Bladabindi) con una campagna di spear phishing

Il cybercrime usa le Virtual Private Networks (VPN) come esca per attacchi informatici contro ente pubblici in Italia. Il CERT della Pubblica Amministrazione (CERT-PA) ha rilevato che qualcuno con una campagna di spear phishing (azioni di phishing contro obiettivi mirati), sta cercando di far scaricare un malware di tipo RAT (Remote Access Tool). E’ il Mjrat, anche noto come Bladabindi. Per ingannare le potenziali vittime, l’oggetto del messaggio è “VPN CISCO aggiornamento”. Nel corpo del testo si legge che è necessario scaricare un update per mantenere gli standard di sicurezza e che l’aggiornamento non modificherà la configurazione e i dati per le connessioni dell’utente. La firma è il CED CISCO Update Management.

Il messaggio dei criminali informatici è ben strutturato e senza errori di grammatica. Ma ci sono alcuni elementi che non quadrano

Il messaggio del cybercrime è ben strutturato e non presenta errori grammaticali. Inoltre, i “phisher” riportano il nome dell’ente destinatario in Italia che utilizza un software VPN della marca indicata. Ci sono, comunque, all’interno del testo alcuni dati che destano sospetti. Soprattutto quello dei numeri di telefono di CISCO. Questi esistono, ma sono legati al servizio di assistenza dell’azienda negli Stati Uniti e in Canada. Quelli che riguardano l’Italia, invece, sono diversi. E’ una piccola disattenzione, ma cruciale. Conferma che chi ha scritto la mail con il malware, RAT, ha semplicemente preso i dati dalla pagina di supporto internazionale della multinazionale. Selezionando i primi due visibili, senza tenere conto di quelli per i singoli paesi. Ciò nonostante si tratti di un attacco di spear phishing, e quindi mirato contro bersagli precisi.

Il CERT-PA: Colpito un Ente, ma non si esclude che possano essere stati lanciati cyber attacchi anche contro altri bersagli della Pubblica Amministrazione. Quali sono i pericoli del malware Mjrat

Peraltro, il CERT-PA italiano non esclude che il cybercrime possa aver lanciato attacchi informatici simili anche contro altri bersagli dell’ambito Pubblica Amministrazione. I maggiori pericoli dati dal malware Mjrat sono legati al fatto che il RAT può garantire accesso remoto al desktop della vittima; la cattura di informazioni quali l’IP della vittima, il nome completo del computer, il nome utente, il sistema operativo, la data di installazione e il Paese; l’esecuzione da remoto un file da disco o da una URL; la manipolazione dei file e registro di sistema; la possibilità di aprire una shell remota, consentendo all’utente malintenzionato di utilizzare la riga di comando; l’accesso al gestore processi per terminare i processi; la registrazione tramite la videocamera e il microfono del computer oltre che della sequenze di tasti digitati e, infine, la possibilità di rubare le password memorizzate nei browser o in altre applicazioni.

Il Post del CERT-PA

Photo Credits: CERT-PA