Campagna di diffusione ransomware con riferimenti Agenzia delle Entrate

29/10/2019

maze ransomware

Nel corso di queste ore è in atto una campagna malevola che utilizza loghi e riferimenti dell’Agenzia delle Entrate e sfrutta due domini, registrati ad hoc, in data 25 Ottobre 2019:

  • agenziaentrateinformazioni.icu
  • agenziaentrate.icu
  • agenziainformazioni.icu

L’email, scritta in italiano corretto, contiene un allegato malevolo dal nome “VERDI.doc” armato di macro malevola che se eseguita scarica ed attiva la componente malevola che fa riferimento al ransomware denominato Maze già rilevato dal CERT-PA in concomitanza di un recente evento di diffusione via Exploit Kit.

Di seguito uno screenshot dell’email:

Indicatori di Compromissione

L’infrastruttura malware è piuttosto vasta e dal monitoraggio OSINT\CLOSINT emerge che il malware viene diffuso nelle ultime 24 ore sia in Europa che negli Stati Uniti.

Si consiglia di utilizzare gli IoC seguenti per arginare l’infezione oltre che bloccare i domini mittenti.

  • IoC (.txt) – URL, domini, hash;
  • Hashr (.txt) – SHA256