L’abuso di Telegram come strumento per raccogliere e trasmettere informazioni sensibili sta diventando sempre più comune sia nelle campagne di phishing che in quelle malware. I bot su Telegram, infatti, permettono agli attaccanti di raccogliere in tempo reale i dati sottratti alla vittima tramite una piattaforma di semplice utilizzo e difficile da contrastare.

Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 18 novembre. Questo suggerisce una pianificazione strategica da parte degli autori, che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 33 campagne malevole, di cui 19 con obiettivi italiani e 14 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 292 indicatori di compromissione (IoC) individuati.

È attualmente in corso una campagna di malspam, scritta in italiano corretto, diffusa su tutto il territorio nazionale, con l’intento di compromettere le vittime con il malware Formbook, noto per le sue capacità di Infostealer.

L’e-mail si presenta come una comunicazione urgente riguardante fatture non pagate e induce le vittime a reagire rapidamente al fine di aprire l’archivio compresso in formato 7Z riportato in allegato, denominato: Ultimo sollecito per il pagamento di fattura scaduta.7z. All’interno di questo archivio compresso si trova un file VBS con lo stesso nome.

Il CERT-AGID ha recentemente rilevato una campagna di phishing che si presenta come proveniente da DocuSign, una nota piattaforma per la firma elettronica e la gestione dei documenti. Queste email ingannevoli contengono allegati HTML progettati per rubare le credenziali degli utenti, consentendo ai malintenzionati di accedere ai loro account e alle informazioni sensibili.

Il CERT-AGID ha recentemente rilasciato una nuova versione del tool hashr come software libero e a codice aperto sotto licenza EUPL. Questo strumento, scaricabile gratuitamente dall’apposita pagina, è progettato per la ricerca di file malevoli all’interno di un filesystem confrontando i valori hash dei file riscontrati con una lista di impronte hash già note. Hashr può essere utilizzato con proprie liste di ricerca oppure, per le Pubbliche Amministrazione accreditate al feed IoC del CERT-AGID, con gli hash ricavati dalle campagne censite.

Vidar, noto per le sue capacità di sottrazione di credenziali e furto di dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite PEC compromesse può indurre i destinatari a fidarsi dei messaggi ricevuti.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 41 campagne malevole, di cui 26 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 255 indicatori di compromissione (IoC) individuati.

Il CERT-AGID ha recentemente identificato e mitigato, con il supporto dei Gestori PEC, una nuova campagna di malspam mirata a diffondere il malware Vidar. L’email, che appare provenire da un’azienda italiana, avverte il destinatario di un presunto mancato pagamento di una fattura. Tuttavia, come già osservato in campagne precedenti, dietro a un linguaggio formale e a una richiesta di pagamento si cela un grave pericolo: un link sulla parola Fattura che, se cliccato, avvia il download di un file VBS malevolo, dando così inizio a una catena di compromissione

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 59 campagne malevole, di cui 32 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 413 indicatori di compromissione (IoC) individuati.