Massiva campagna di Phishing veicolata su PEC con finti riferimenti a fatture firmate (.p7m)

10/10/2019

malspam pec phishing

Il CERT-PA ha rilevato l’esistenza di una campagna malevola osservata per la prima volta in data 05/10/2019 veicolata da PEC italiane compromesse, indirizzata ancora una volta verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali.

Le mail malevole, aventi come oggetto “Invio File <XXXXXXXXXX>”, menzionano un allegato dal nome ITYYYYYYYYYY_1bxpz.XML.p7m che comunque non compare come file all’interno dell’email.

L’assenza dell’allegato potrebbe far pensare a una “dimenticanza” e quindi a una campagna errata, ma considerata la modalità con cui è stata strutturata la mail, è chiaro che si tratti di phishing mirato alla “raccolta di informazioni”, probabilmente in attesa di un successivo attacco mirato. Infatti, la comunicazione fa riferimento a un nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio“, tale indirizzo coincide sempre con il mittente della casella compromessa controllata dall’attaccante.

Di seguito uno screenshot del phishing veicolato:

Si osserva che:

  • il display name [1] del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
  • il mittente effettivo [2] è una casella PEC di una società italiana.

Dalle indagini effettuate dal CERT-PA, in collaborazione con i gestori PEC, risultano essere state sfruttate circa 500 account PEC compromesse per inviare un totale di 265.000 messaggi di phishing negli ultimi 7 giorni.

Conclusioni

La campagna di diffusione risulta in corso a danno di molte utenze italiane titolari di caselle PEC. Si consiglia pertanto non dar seguito a comunicazioni PEC provenienti da utenze “sconosciute” e che richiedono di modificare l’indirizzo di recapito per le successive comunicazione con il Sistema di Interscambio.


Aggiornamento:

  • I phisher hanno clonato una comunicazione PEC lecita emessa a inizio mese da Sogei contestualmente al Sistema di Interscambio.
  • Il corpo della mail contiene al suo interno un richiamo ad una risorsa remota, trattasi di un meccanismo di tracking che si abilita all’apertura della mail e punta al seguente dominio: “pattayajcb[.]com


Aggiornamento del 15 ottobre 2019

Ieri l’Agenzia delle Entrate ha pubblicato un comunicato stampa relativo a questo caso di phishing.  A tal proposito, l’Agenzia ricorda che i messaggi Pec del sistema SdI hanno alcune specifiche caratteristiche:

  • il mittente è solo del tipo sdiNN@pec.fatturapa.it dove NN è un progressivo numerico a due cifre;
  • il messaggio deve contenere necessariamente due allegati composti in accordo alle specifiche tecniche sulla Fatturazione Elettronica (pubblicate sul sito dell’Agenzia delle Entrate).

Aggiornamento del 29 ottobre 2019

Il CERT-PA ha rilevato nel periodo 24-28 Ottobre una riattivazione della campagna verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali. Le mail malevole, come le precedenti, presentano come oggetto “Invio File <XXXXXXXXXX>”, e menzionano un allegato dal nome ITYYYYYYYYYY_1jgzs.XML.p7m che comunque non compare come file all’interno dell’email.

Il corpo dell’email è leggermente diverso dal precedente messaggio ma contiene al suo interno sempre un richiamo ad una risorsa remota mediante meccanismo di pixel tracking che si abilita all’apertura della mail e punta al seguente dominio diverso dal precedente “dreambabyyorkies[.]com”:


Aggiornamento del 13 Novembre 2019

Il CERT-PA ha rilevato nel periodo 29 Ottobre -11 Novembre una riattivazione della campagna verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali. Le mail malevole, come le precedenti, presentano come oggetto “Invio File <XXXXXXXXXX>”, e menzionano un allegato dal nome ITYYYYYYYYYY_6trvn che comunque non compare come file all’interno dell’email.

Il corpo dell’email è leggermente diverso dai precedenti messaggi ma contiene al suo interno sempre un richiamo ad una risorsa remota mediante meccanismo di pixel tracking che si abilita all’apertura della mail e punta al seguente dominio diverso dal precedente “a1ablerooter[.]com”:

 

Aggiornamento del 26 novembre 2019

È stata rilevata nel periodo 24/11/2019 17:27 – 25/11/2019 09:40 la riattivazione della campagna verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali. Le mail malevole, come le precedenti, presentano come oggetto “CONFERMA PEC” e un messaggio di questo tipo:

Di seguito le nuove tracking pixel URL:

hxxps://bottlecaprecording.com/background/image.jpg?UVVWlmdREMhHfgznMrcrQv%2FceE%2BPoDDFAjCxPojLzIbAbicneRVPwIfSVtxCjUIjtT4hl1ezERb05eZgHdTuOT%2FKXe5I4lmONdNmHt0FfpNM%2B9uP4FKnKieWesbbxymQKY9icHGGE4KTWK%2BMXhtsGw%3D%3D

hxxps://bottlecaprecording.com/background/image.jpg?STlqaKQLALQi1wvmai1DCmb3A1IGS5cMdAnzBc%2FASHMa5gZhzCGkniO13nRTulZuruZkH%2BbrC6igUQbG0hRRbaVicXXoM59rGmAhYTdMELTotROdxYRhwslmzhm6O%2FQo

A seguito di tale rilevazione, il provider ha provveduto a sospendere 30 indirizzi PEC compromessi.