IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

Finta comunicazione dell’Agenzia delle Entrate veicola il malware Ursnif

02/07/2020

Agenzia Entrate IoC Ursnif

La giornata odierna è stata contrassegnata da una importante campagna malevola, veicolata tramite messaggi di posta create ad arte per emulare una finta mail dell’Agenzia delle Entrate, attraverso la quale si invita l’utente a prendere visione del documento XLS allegato in un archivio compresso (ZIP).

Una volta estratto e aperto il file XLS inizia la catena di infezione per installare il malware Ursnif sulla macchina della vittima.

Osservazioni

Diventa sempre più frequente l’uso di allegati con hash differenti per ogni email al fine di rendere “inutilizzabili” gli indicatori di compromissione di tipo file.

Per questa campagna inoltre sono stati utilizzati indirizzi email mittenti creati ad-hoc attraverso una serie di domini che non espongono contenuti ma mostrano una pagina di cortesia “Apache 2 Test Page powered by CentOS“.

Dalle informazioni a conoscenza del Cert-AgID, uno dei domini C2 usato per questa campagna risulta essere stato già utilizzato in precedenza in ben 9 campagne Ursnif italiane a partire dal mese di Maggio 2020.

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulla nostra piattaforma CNTI e MISP a tutela delle strutture accreditate.

NB: Non sono riportati gli hash relativi ai file allegati poichè variano per ogni singola email.

Link: Download IoC