Il cybercrime in questi giorni sta sfruttando il panico generato dall’emergenza sanitaria in atto per veicolare malware di ogni genere. Il CERT-PA segnala «la prima campagna malspam ai danni di utenti italiani», analizzata dai ricercatori di Trickbot.

La Polizia Postale ha diffuso l’alert di un attacco phishing ai danni di utenti degli istituti bancari Intesa San Paolo e Monte dei Paschi. Sophos ha rilevato una campagna spam di Trickbot.

La segnalazione del CERT-PA della prima campagna malspam ai danni di utenti italiani che fa leva sull’emergenza del Coronavirus, nello specifico mira a colpire l’utente tramite una email da una presunta Dottoressa dell’Organizzazione Mondiale della Sanità (OMS) con oggetto “Coronavirus: Informazioni importanti su precauzioni”. L’email contiene un file allegato che, laddove eseguito, esfiltra i dati dell’utente come Nome Computer, Nome PC, IP in locale della macchina, modello della scheda di rete.

“Fortunatamente il dominio contattato dal malware per inviare i dati esfiltrati non è raggiungibile. Tuttavia non è da escludere che nei giorni a seguire i criminali possano cambiare server e dar luogo ad una nuova campagna di malspam. Il CERT-PA ha avuto modo di correlare gli IoC e individuare ulteriori indicatori collegati al file JSE veicolato nelle ultime 48 ore attraverso documenti di tipo Microsoft Word di cui si riportano gli hash sha256”.

Dall’aggiornamento del CERT-PA in data odierna si legge:

“I ricercatori di Sophos hanno individuato ed analizzato la medesima campagna di malspam veicolata in Italia sfruttando l’emergenza Coronavirus collegandola alla campagna Trickbot. Sulla base degli indicatori forniti da Sophos il CERT-PA ha provveduto ad aggiornare gli IoC con ulteriori informazioni emerse dalle correlazioni”.

La campagna di phishing ai danni degli utenti di Banca Intesa San Paolo e di Banca Monte Paschi di Siena individuata in questi giorni dalla Polizia Postale, riguarda l’invio massivo di e-mail contenenti una falsa nota informativa rivolta alla tutela dei clienti dell’istituto di credito.

“Le e-mail inviate dai cyber criminali tentano di indurre la vittima a cliccare sul link presente nel testo, con la scusa di leggere una comunicazione urgente relativa all’emergenza sanitaria per il Coronavirus COVID-19. In realtà, cliccando sul link, gli utenti vengono reindirizzati ad un sito di phishing ed invitati a digitare le proprie credenziali per l’home banking”.

Sophos ha rilevato una campagna spam di Trickbot che prende di mira gli indirizzi di posta elettronica italiani facendo leva sui timori per l’epidemia di Coronavirus nel Paese.

«L’e-mail contiene un documento che si presume sia un elenco di precauzioni da prendere per prevenire l’infezione. Ma il file allegato è in realtà un documento Word armato, che contiene uno script Visual Basic for Applications (VBA) che trasporta un dropper utilizzato per fornire una nuova variante di Trickbot».

Il CERT-PA e la Polizia Postale raccomandano di non aprire allegati o i link presenti nelle e-mail di cui non è certa la provenienza. Per approfondimenti e ulteriori raccomandazioni specifiche visita i seguenti siti:

 

https://www.cert-pa.it/notizie/nuova-campagna-malspam-sfrutta-emergenza-coronavirus/

https://www.commissariatodips.it/notizie/articolo/coronavirus-phishing-con-false-e-mail-di-istituti-di-credito/index.html

https://news.sophos.com/en-us/2020/03/04/trickbot-campaign-targets-coronavirus-fears-in-italy/

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE