L’esperto di cybersecurity Salvatore Lombardo scopre un’email che punta a un falso sito di pagamento legato al servizio. Obiettivi: rubare le credenziali e i dati della carta di credito.
La cyber campagna malware in Italia ora usa DHL come esca
Il cybercrime sta usando DHL come esca nella cyber campagna malware (malspam) contro le aziende e gli utenti in Italia
I criminali informatici usano DHL come esca nella loro cyber campagna malevola (malspam) contro le aziende e gli utenti in Italia. Il CERT della Pubblica Amministrazione (CERT-PA) ha rilevato un caso in cui il cybercrime ha usato una falsa comunicazione proveniente dal corriere e caselle mail precedentemente compromesse. Il testo della mail fraudolenta è: “caro Cliente, in allegato troverà una comunicazione importante a lei rivolta, di cui attendiamo riscontro entro e non oltre 48 ore. Per motivi di privacy dovrà scaricare il documento allegato alla presente. Cordialmente…”. Cliccando sopra l’attachment, si determina su ambienti Windows il download remoto del payload 32 bit tramite protocollo HTTP. Peraltro, l’uso improprio di certutil come strumento per il download del payload codificato in base64 consente ai cyber aggressori di eludere alcuni controlli di sicurezza dei software antivirus, in quanto strumento integrato in Windows e utilizzato nativamente per scaricare certificati digitali.
Il CERT-PA: Il server di comando e controllo dei criminali informatici è strettamente impiegato in relazione al trojan bancario della famiglia Ursnif
Secondo il CERT-PA dall’analisi del codice è possibile identificare funzionalità del malware relative alla cattura di informazioni. Tra queste i portafogli di varie cripovalute eventualmente presenti sul sistema, credenziali/dati di vari programmi come Skype, Firefox, Steam, Edge, Telegram ed altri, dati del sistema colpito tra cui nome utente, nome macchina, ip ed altre. Analisi ulteriori sono in corso al fine di determinate la natura del malware. Da ricerche di threat intelligence sugli indicatori di compromissione (IoC) rilevati emerge che il dominio giocherialaragnatela.it (il server di comando e controllo usato per i cyber attacchi) è, nel recente passato, strettamente impiegato in relazione al trojan bancario della famiglia Ursnif. Di conseguenza, la cyber campagna che utilizza DHL come esca nelle mail è presumibilmente la stessa che da qualche sta colpendo utenti, aziende e organizzazioni in Italia.
Articoli correlati
