Il CERT-PA: Qualcuno sta cercando di colpire utenti e organizzazioni in Italia con una campagna di phishing per rubare informazioni, tramite un malware. Il cyber attacco è ancora in corso
Qualcuno cerca di colpire utenti e organizzazioni in Italia con una campagna di phishing, che veicola malware compilati in Visual Basic. Lo hanno scoperto gli esperti di cyber security del CERT della Pubblica Amministrazione (CERT-PA). Dalle analisi sul codice malevolo sono emerse chiare funzioni finalizzate alla cattura di informazioni (Information Stealing). L’attacco informatico avviene in due fasi. Nella prima, tramite la ricezione della e-mail, scarica un “dropper” ubicato su un sito web esterno. Nella seconda viene installato il componente malevolo con funzionalità di rubare le informazioni. L’esca dell’aggressione cibernetica, ancora in corso, sono presunte fatture di acquisto e nel corpo dei messaggi è inserita la URL con puntamento al malware, costituito da un archivio con estensione “.zip”. Il codice, peraltro, tra le altre cose cerca di raccogliere password attraverso l’uso del comando “findstr” ed effettua una connessione verso l’IP 79.0.91[.]33.
Il bersaglio sono proprio utenti e sistemi in Italia. Forse gli stessi cyber criminali si trovano nel nostro paese
Il CERT-PA specifica che al momento il server di comando e controllo (C&C) del malware (un keylogger ed eventlogger) presenta al suo interno più di 400 files di logs derivanti da PC infetti. La maggior parte di questi risultano nomi di macchine italiane. Inoltre, l’IP 79.0.91[.]33, in base alle informazioni ottenute tramite una richiesta “whois”, risulta appartenente ad un ADSL Telecom Italia e utilizzato dal codice malevolo per inviare dati tramite share SMB. Alcune informazioni vengono inviate a questo IP. Altre al sito FTP tantiannunci.altervista[.]org. Ciò permette di ipotizzare che la minaccia sia finalizzata a colpire utenti e sistemi sul territorio del nostro paese, tramite campagne malspam. Nonché che gli stessi criminali informatici possano essere “interni”.