Campagna di Phishing “Aggiornamento della password del servizio IT”

20/09/2018

italia phishing spear phishing

Il CERT-PA ha avuto evidenza di una campagna di phishing, perpetrata via e-mail con oggetto “Aggiornamento della password del servizio IT“, che prende di mira principalmente le PA centrali italiane.

Nel corpo del messaggio si allerta l’utente che la password dell’account di posta è in scadenza ragion per cui è necessario a cliccare su un link contenuto per procedere all’aggiornamento.

Chiaramente il link punta a una pagina di phishing che può essere generica o appositamente creata per il target, con lo scopo di sottrarre le credenziali di accesso all’account di posta.

La pagina può riportare loghi e nomi ufficiali dell’Ente preso di mira, come nel caso di seguito rappresentato:

Account email compromessi

Riguardo al mittente della mail il CERT-PA ha riscontrato che, in alcuni casi, sono stati utilizzati account e-mail appartenenti all’Ente target, precedentemente compromessi, in altri casi si tratta di account di posta generici, probabilmente anch’essi precedentemente compromessi.

Servizio di hosting gratuito

Il denominatore comune è il servizio di free hosting che ospita le pagine di phishing. Nei casi analizzati il link contenuto nel corpo della mail punta ad un sottodominio di “atspace.co.uk“, un servizio che offre agli utenti spazio gratuito per ospitare le proprie pagine.
Al momento alcune pagine sono state già segnalate e dismesse, altre sono ancora attive e in fase di dismissione a seguito delle segnalazioni appositamente inviate all’indirizzo di “abuse” del servizio.

Conclusioni

Si consiglia di prestare attenzione alle e-mail aventi l’oggetto “Aggiornamento della password del servizio IT” e di verificare attraverso l’analisi del traffico network eventuali richieste dei client verso il dominio “*.atspace.co.uk”.

Aggiornamento del 5-12-2018

In data odierna il CERT-PA ha appreso di un nuovo tentativo di spear-phishing massivo ai danni di un ente regionale. Il dominio utilizzato per ospitare la pagina di phishing, che è simile a quella precedentemente riportata, è ospitata su un dominio di terzo livello su atspace.eu. Il messaggio, avente come oggetto “ADMIN“, invita il destinatario ad aggiornare i dati di accesso tramite la pagina di phishing.

Di seguito un esempio del messaggio recapitato:

 

 

I casi di phishing rilevati utilizzano pagine web sui domini “atspace.eu” e “atspace.co.uk”, mentre i sotto-domini utilizzano una nomenclatura specifica che può includere il nome del soggetto (Ente o società) cui è indirizzato l’attaccato.