IMPORTANTE

CVE-2021-44228 IoC log4j log4shell 13/12/2021

CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

(Lista IoC aggiornata al 17-01-2022 @ 10:34) Come evidenziato anche dal CSIRT Italia, la vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano quel prodotto. Il CERT-AGID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici […]

Scoperta massiva campagna scam bitcoin tramite URL bit.ly

04/06/2021

bitcoin scam

Questo genere di campagne circola in Italia da tempo ma in questa settimana il CERT-AGID ha avuto evidenza di numerose email truffa ai danni di utenti italiani e di importanti istituzioni. Le email sono scritte in lingua italiana e usano link rigorosamente abbreviato tramite il servizio di abbreviazione URL “Bit.ly” , in alcuni casi con l’oggetto del messaggio riportato in lingua francese.

Gli utenti che cliccano sul link abbreviato vengono rediretti verso una url che termina con un “/apmix” che a sua volta ha il compito di rimandare ad una pagina dove viene richiesto, in modo insistente, di registrarsi ad una piattaforma di trading bitcoin con la promessa di diventare milionari.

La registrazione richiede di inserire nome, cognome, email e un numero di telefono. Abbiamo provato a seguire la procedura e, non appena compilati i campi, l’utente riceve immediatamente una email di conferma registrazione ed una chiamata da un numero londinese che pare sia attivo già da diversi anni: il suo primo feedback negativo risale al 2018 e l’ultimo al 14 maggio 2021.

Una volta avuto accesso alla piattaforma, viene proposto il download gratuito di una app (android, ios, windows) per poter operare con il trading online, ma per guadagnare qualcosa viene richiesto di fornire ulteriori informazioni: carta di credito e relativo CVV attraverso un servizio ospitato sul dominio “xpayz.net” già noto per attività di scam. Inoltre, in base a verifiche effettuate sul registro Whois, il dominio risulta registrato ad aprile 2020 (e aggiornato di recente) tramite registrant topdns.com con sede a Nassau (Bahamas) mentre il certificato del sito è di Sectigo, spesso utilizzato anche in campagne di phishing italiane.

Se si sceglie un importo più alto, ad esempio 1000 euro, la piattaforma propone anche il pagamento in bitcoin o altre forme di criptovalute. Ovviamente le vittime non otterranno alcun guadagno tramite questa affiliazione ma vedranno solo sottratti i soldi dal loro conto. Di truffe simili se ne sono viste tante nel tempo e non sempre lo scopo è solo quello di rubare denaro alle vittime: in altri casi le campagne erano volte a sfruttare abusivamente la potenza di calcolo delle vittime per “minare” bitcoin.

Indicatori di compromissione

Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC