Il CERT-AGID ha pubblicato un avviso in seguito alla segnalazione di una campagna malevola mirata che sta colpendo diverse Pubbliche Amministrazioni con e-mail fraudolente che invitano gli utenti a scaricare un presunto aggiornamento urgente di un software di firma digitale. Il messaggio invita a cliccare su un link che porta al download di un archivio ZIP contenente un file VBS malevolo.

L’obiettivo dell’attacco è l’installazione di Action1, uno strumento legittimo di gestione remota utilizzato per la gestione remota di patch e la risoluzione delle vulnerabilità presenti sui sistemi da parte degli amministratori IT. In questo caso, però, viene sfruttato per ottenere accesso non autorizzato ai dispositivi compromessi.

Secondo il CERT-AGID Il CERT-AGID si tratta della prima evidenza in Italia dell’abuso di Action1 da parte di cyber criminali, sebbene a livello internazionale questo strumento sia già stato sfruttato in campagne malware, incluso dal gruppo ransomware Conti.

Analogamente come già accaduto con altri software legittimi di remote management, tra cui ScreenConnect, i criminali sfruttano software firmati e legittimi per ridurre le possibilità di rilevamento da parte delle soluzioni di sicurezza.

Al momento non è stato individuato il malware o il payload finale, ma gli esperti ritengono verosimile che gli attaccanti stiano attendendo il momento opportuno per distribuirlo.

Il CERT-AGID ha già avviato le attività di contrasto alla campagna, diffuso gli Indicatori di Compromissione (IoC) e avviato contatti con il Gestore di Firma interessato. Raccomanda inoltre le PA e gli utenti che abbiano ricevuto l’e-mail sospetta a:

  • non cliccare sul link contenuto nel messaggio;
  • utilizzare gli Indicatori di Compromissione (IoC) messi a disposizione dal CERT-AGID per effettuare le opportune verifiche;
  • usare il tool hashr per la ricerca di file malevoli all’interno dei propri sistemi;
  • in caso di compromissione, isolare immediatamente il dispositivo e segnalare l’incidente al CSIRT Italia.

https://cert-agid.gov.it/news/falsa-patch-per-firma-digitale-diffonde-malware/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: