Il CERT-AGID ha rilevato una nuova campagna malspam, già in azione dalla giornata di ieri, principalmente inidrizzata verso domini della Pubblica Amministrazione e che sfrutta il nome del diffuso programma per la firma digitale Dike ed il marchio InfoCert.

La campagna è identica a quella individuata nel mese di luglio 2021, è scritta in italiano corretto e presenta un file PDF in allegato.

All’interno del PDF un link rimanda al download di un file di installazione Dike_Infocert_upgrade.msi scaricato dal dominio “infocert-dike[.]firstcloudit[.]com“. Anche il link alla pagina è molto simile a quello rilevato nella campagna precedente.

Se avviato, il file installa il software di controllo remoto Atera Agent fornendo agli attaccanti l’accesso alla macchina compromessa .

Il software può comunque essere disinstallato tramite le normali le funzionalità di Windows.

Indicatori di compromissione

Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC