IoC aggiornati

malspam poste italiane sda 12/12/2019

Campagna di ricognizione vittime tramite false email SDA/Poste Italiane

Appena tre giorni dopo la campagna malevola DHL il CERT-PA ha ricevuto privatamente evidenze da parte del CERT D3Lab di una campagna di malspam ai danni di clienti SDA/Poste Italiane per la quale sono stati rilasciati pubblicamente alcuni dettagli. L’indirizzo mittente della campagna è sda@sda-express[.]xyz il cui dominio sda-express[.]xyz risulta essere stato registrato in data […]

banking emotet malware trojan 09/12/2019

Campagna Emotet

Il CERT-PA ha rilevato una campagna di malspam veicolante Emotet. L’e-mail contiene un testo con carattere di urgenza ed un link ad un file Word contenente una macro che, se abilitata, scarica ed esegue il malware Emotet. Indicatori di compromissione Dichiarazione di esclusione di responsabilità IoC (.txt) – Domini, URL, Hash Hashr (.txt) – Hash […]

ftcode pec 29/10/2019

Massiva campagna via PEC diffonde FTCODE con nuove funzionalità

Dalla tarda mattinata odierna il CERT-PA ha rilevato il vasto utilizzo di caselle PEC, precedentemente compromesse, utilizzate per veicolare il malware FTCODE che nelle scorse settimane è stato ampiamente utilizzato in diversi attacchi verso strutture della PA o caselle di aziende e professionisti. La peculiarità rilevata nella variante odierna è che, oltre agire come ransomware […]

malspam pec phishing 10/10/2019

Massiva campagna di Phishing veicolata su PEC con finti riferimenti a fatture firmate (.p7m)

Il CERT-PA ha rilevato l’esistenza di una campagna malevola osservata per la prima volta in data 05/10/2019 veicolata da PEC italiane compromesse, indirizzata ancora una volta verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali. Le mail malevole, aventi come oggetto “Invio File <XXXXXXXXXX>”, menzionano […]

ftcode malware ransomware 09/10/2019

Rilevata variante del ransomware FTCODE

Il CERT-PA ha rilevato in data odierna una nuova variante del ransomware FTCODE indirizzata verso PEC italiane e veicolata attraverso l’invio di mail da caselle (per lo più PEC) precedentemente compromesse. Di seguito uno screenshot della mail utilizzata per la campagna in oggetto: La variante presenta numerose parti di codice in comune con il ransomware […]

botnet emotet malspam 18/09/2019

Emotet riprende le operazioni di malspam

Come prevedibile, dopo qualche mese di inattività, il malware Emotet ha ripreso le attività di malspam. Rilevato nel 2014 come trojan bancario, è noto per fornire moduli in grado di estrarre password di software locali, diffondersi ad altri computer sulla stessa rete e, come già osservato in passato dal Cert-PA, in grado di riutilizzare le […]

pec sLoad 12/09/2019

Diffusione sLoad via PEC rivolta a Privati e Professionisti

A partire dalla giornata di ieri è stata individuata una vasta campagna di malspam, indirizzata principalmente ad aziende private e professionisti, che utilizza il canale PEC per veicolare il malware all’interno di un archivio ZIP. La campagna in atto è del tutto simile a quella riportata in data 19/07/2019 relativa alla diffusione via PEC del […]

malspam ursnif vbs 21/08/2019

Ondata di malspam con finte Sentenze Legali

Il CERT-PA ha avuto evidenza della diffusione di e-mail di malspam volte alla diffusione del malware Ursnif. Le mail si presentano in italiano con evidenti errori ortografici e grammaticali. Di seguito uno screenshot. L’oggetto dell’e-mail è Relazione di notifica atto N. X del D, dove X e D sono rispettivamente un numero ed una data. […]

danabot malspam malware 28/11/2018

Campagna di Malspam diffonde il Trojan Danabot anche in Italia

Nell’ultima settimana è stata tracciata una nuova campagna di Malspam volta a diffondere il pericoloso Trojan Danabot. Catena d’Infezione Come di consueto, la catena d’infezione viene avviata mediante messaggi di posta elettronica fraudolenti, confezionati ad-hoc utilizzando metodi di “ingegneria sociale” al fine di indurre la vittima ad aprire allegati infetti e/o a cliccare su link […]