Ordine dei Dottori Commercialisti e degli Esperti Contabili di Catania

Protocollo intesa Polizia Postale - segnalazioni settembre 2019

Protocollo intesa tra la Polizia di Stato compartimento Polizia Postale e delle comunicazioni “Sicilia Orientale” e ODCEC di Catania siglato in data 18 maggio 2019 per la prevenzione ed il contrasto dei crimini informatici sui sistemi informativi “critici”: accessi abusivi, frodi informatiche, spionaggio, violazione dell’identità digitale, indebita sottrazione di informazione.

 

Segnalazioni settembre 2019

 

1) NanoCore: campagna malevola sfrutta il brand di Poste Italiane

Messaggi di posta malevoli che si spacciavano per comunicazioni di “Poste Italiane” sono stati sfruttati per distribuire il RAT NanoCore.

L’oggetto delle email è “Fwd: Avviso di arrivo della spedizione” e nel testo compaiono il logo e l’indirizzo di un ufficio postale di Roma. Gli utenti sono invitati ad aprire un allegato che viene presentato come un fantomatico biglietto per la partecipazione ad un concorso a premi.

L’archivio RAR, in realtà, contiene l’eseguibile di NanoCore.

 

2) GootKit: messaggi PEC distribuiscono il trojan bancario

Il trojan bancario GootKit è il protagonista di una campagna che ha sfruttato messaggi PEC (posta elettronica certificata).

I messaggi hanno come oggetto “Tribunale di Campobasso Notificazione ai sensi del D.L, 1455749” e contengono un allegato ZIP il cui filename contiene la parola “Notificazione” seguita da un numero.

Gli utenti che hanno decompresso l’archivio hanno aperto un documento DOC le cui macro hanno scaricato la minaccia nelle macchine.

 

3)SharePoint: sfruttata la piattaforma per operazione di phishing

Alcuni ricercatori di sicurezza hanno identificato una campagna di phishing che utilizza SharePoint per eludere il gateway di Symantec e altre protezioni dello stesso tipo ed assicurarsi che i link malevoli vengano consegnati ai destinatari, in questo caso individui impiegati nel settore bancario.

Nella mail, inviata da un account compromesso, si richiede alla vittima di cliccare su un URL embedded per prendere visione di un documento. Il link reindirizzerà invece l’utente ad un account SharePoint compromesso su cui è ospitato un documento malevolo OneNote in cui è contenuto il link che porta alla pagina di phishing finale per l’esfiltrazione di credenziali.

Si tratta dell’imitazione – neanche troppo accurata – del portale di login di OneDrive for Business, dove è possibile autenticarsi con le credenziali di Office 365 o con le credenziali di un provider mail qualsiasi.

 

Suggerimenti: Si  consiglia di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine.

10 settembre 2019