apk 25/01/2021

Individuato sito che veicola in Italia un APK malevolo

In data odierna è stato individuato da AddressIntel un dominio denominato “supportoapp[.]com” dal quale è possibile scaricare il file “Assistenzaclienti.apk” caricato sul server remoto in data odierna. Una volta installata l’app, che si presenta con il nome “Protezione Cliente“, viene richiesto all’utente di abilitare il servizio di accessibilità che servirà per attivare le funzionalità di […]

riepilogo 22/01/2021

Sintesi riepilogativa delle campagne malevole della settimana 22/01/2021

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole attive, di cui 4 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 368 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

yau 21/01/2021

YAU – Parte 4 – Primo stadio e la sezione bss

Nell’ultimo articolo avevamo visto come ottenere il payload contenuto nel packer. In alcune occasioni il payload è risultato essere un’eseguibile PE ma nei campioni recenti (e in quelli del 2018) è una DLL.Indipendentemente dal tipo di PE, l’esecuzione procede nello stesso modo; sono presenti alcune variazioni ma sono dettagli minori di implementazione. Vedremo che questo […]

clone phishing 21/01/2021

Falso sito “Il portale dell’Automobilista” online cattura le password inserite

Il sito, raggiungibile all’indirizzo ilportaledellautomobilista.net, si presenta come copia identica del sito lecito.Quando la vittima clicca sul pulsante ACCEDI AL PORTALE ed inserisce nome utente e password, queste vengono rubate dai criminali. Il dominio ilportaledellautomobilista.net era già noto al CERT-AGID, grazie ad una segnalazione ricevuta da D3Lab, ed era già stato segnalato alle autorità competenti […]

yau 19/01/2021

YAU – Parte 3 – Il packer

Nell’articolo precedente abbiamo visto come analizzare i documenti malevoli utilizzati da Ursnif.In particolare abbiamo mostrato come ottenere l’URL dal quale il dropper recupera il payload da eseguire. Da più di un anno a questa parte il payload è una DLL eseguita con regsvr32.exe mentre in precedenza era un PE eseguibile (un .EXE).Questo payload non contiene […]

alien covid immuni 18/01/2021

Il malware Alien per Android arriva in Italia come fake app Immuni

Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc. A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I […]

riepilogo 15/01/2021

Sintesi riepilogativa delle campagne malevole della settimana 15/01/2021

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 24 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 23 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 299 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

emotet 15/01/2021

Campagna Emotet si spaccia per comunicazione PEC

[Articolo aggiornato a seguito di ulteriori accertamenti] L’indirizzo PEC visibile nell’e-mail è reale e la campagna sembra essere partita da un indirizzo IP localizzato in Nuova Zelanda. L’account PEC è uno dei tanti indirizzi utilizzati per questa campagna ma non risulta essere stato utilizzato per inoltrare massivamente la campagna verso altre utenze PEC. Il testo, […]

yau 14/01/2021

YAU – Parte 2 – Le macro

Nell’articolo precedente avevamo introdotto le categorie di macro usate da Ursnif nel corso del tempo. Lo schema riassuntivo è il seguente. In questo articolo affronteremo le tre categorie di macro, vedremo quali strumenti sono a disposizione dell’analista e se è possibile automatizzare l’analisi. Yet Another Ursnif Questo è il secondo di una seria di articoli, […]

yau 12/01/2021

YAU – Parte 1 – Le e-mail e il documento Excel

Ursnif è un malware ben conosciuto in letteratura, le informazioni che lo riguardano risalgono all’inizio del precedente1 decennio (circa 2012). Le campagne di Ursnif si presentano con frequenza quasi quotidiana ed è ormai molto raro che la settimana trascorra senza che gli autori di questo malware provino ad infettare quante più macchine possibile con l’ennesima […]