Le aziende e le amministrazioni in Italia continuano a essere sotto attacco dai criminali informatici. Lo hanno scoperto gli esperti di cyber security di Yoroi
Le aziende e le amministrazioni italiane continuano a essere sotto attacco dai criminali informatici. Lo hanno scoperto gli esperti di cyber security di Yoroi, secondo cui il cybercrime sta portando avanti una campagna persistente rivolta a numerose Organizzazioni all’interno del tessuto produttivo ed amministrativo del nostro paese, che ha un impatto anche verso Enti Pubblici. Le aggressioni cibernetiche sono veicolate da un gruppo operante negli ambienti del cyber crimine specializzato nella preparazione di comunicazioni email fraudolente. Le tecniche utilizzate nella campagna hanno l’obiettivo di tentare di evadere i sistemi di protezione perimetrali e ingannare le utenze al fine di aprire documenti e link remoti.
C’è una nuova campagna malware, che punta a far scaricare alle vittime il Trojan Gootkit
Le email malevole, come rende noto il CERT della Pubblica Amministrazione (CERT-PA) si manifestano con più tematiche. Sono, inoltre, accomunate dalla presenza di collegamenti volti allo scaricamento di ipotetici documenti. Gli allegati, di solito “link”, puntano a risorse esterne rappresentate da una serie di domini malevoli utilizzati per servire un archivio contenente uno script .js offuscato. Se questo viene eseguito, sul computer della vittima viene scaricato un malware di tipo Trojan, chiamato Gootkit. Anche le tecniche utilizzate nell’ultima campagna del cybercrime hanno somiglianze con altre simili osservate in queste ultime settimane. Probabilmente i cyber attaccanti stanno tentando di infettare molteplici aziende private italiane ed enti pubblici.
I nuovi cyber attacchi si aggiungono a quelli dei giorni scorsi lanciati con i malware Gozi/Ursnif
Gli esperti di cyber security di Yoroi, peraltro, nei giorni scorsi avevano scoperto un’altra campagna malevola verso utenze e organizzazioni in Italia. Sempre mediante email fraudolente. Queste erano appositamente create per simulare la condivisione di un documento tramite la piattaforma Google Drive, ma che reindirizza l’utente verso destinazioni malevole. L’azienda aveva rilevato 6.617 indirizzi di posta elettronica che potrebbero essere compromessi da momento in cui hanno cliccato sull’url malevola. Le comunicazioni fraudolente contengono un link a un sito di distribuzione malware, collegato a servizi di Content Distribution di CloudFlare. Una volta cliccato, dal collegamento si scarica un “archivio personalizzato” contenente uno script “.jse” in grado di infettare l’host vittima. Il malware individuato è riconducibile alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire un accesso backdoor all’attaccante, intercettare digitazioni e attività utente (e.g. attività su portali web).
Il post del CERT-PA sulla campagna con gli indicatori di compromissione