Attività malevola attraverso il dominio "documenticertificati.com"

13/03/2018

In data odierna il CERT-PA è venuto a conoscenza di una attività malevola di diffusione malware
attraverso il dominio documenticertificati[.]com
che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.

È quasi superfluo sottolineare che il dominio in oggetto non ha alcun legame con AgID e/o il circuito SPID.
Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”. 
La mail dal titolo “Consegna documenti per XXXX” riporta nel
corpo del messaggio le credenziali per scaricare la finta
“pratica”. (con XXX personalizzato per il destinatario).
Una volta inserite le credenziali, verrà proposto in download
un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

DocumentiCV.exe

LettoreDOC.jar

L’analisi dei sample è in corso, nuovi dettagli verranno forniti nell’apposito bollettino di prossima emissione.