Protocollo intesa Polizia Postale e ODCEC CT – Alert Sistemi Informativi luglio 2019
Protocollo intesa tra la Polizia di Stato compartimento Polizia Postale e delle comunicazioni “Sicilia Orientale” e ODCEC di Catania siglato in data 18 maggio 2019 per la prevenzione ed il contrasto dei crimini informatici sui sistemi informativi “critici”: accessi abusivi, frodi informatiche, spionaggio, violazione dell’identità digitale, indebita sottrazione di informazione.
Di seguito si segnalano gli alert dei Sistemi Informativi – Luglio 2019
WeTransfer: sfruttato il servizio per attacchi di phishing
Ricercatori di sicurezza hanno tracciato un'ondata di attacchi di phishing che utilizzano il sito legittimo per il file hosting WeTransfer per distribuire URL malevole bypssando i gateway della posta elettronica.
Gli attacchi interessano grandi settori come quello bancario, dell'energia e dei media.
Il testo della email, proveniente da account compromessi, consiste in una notifica autentica di WeTransfer con cui si informa la vittima che un file è stato condiviso con lei e in cui è contenuto un link ospitato realmente dal servizio. Poiché si tratta di collegamenti legittimi di WeTransfer, è possibile superare facilmente i controlli di sicurezza del gateway.
Quando l'utente clicca sul pulsante "Get your files", viene reindirizzato alla pagina di download di WeTransfer su cui è ospitato un file HTM o HTML che, se aperto, invierà la vittima verso la pagina di phishing principale. Nella fase finale viene chiesto di inserire le credenziali di Office365 per autenticarsi e ottenere il file
Alcuni consigli su come comportarsi:
Sensibilizzare il personale ed i professionisti al fine di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l'origine.
sLoad: in corso una campagna basata su messaggi PEC
E’ in corso di tracciamento una nuova campagna di distribuzione del trojan sLoad attraverso email PEC.
I criminali stanno inviando messaggi il cui testo invita a consultare il sito dell'Agenzia per l'Italia Digitale per verificare la firma digitale.
In allegato alla P.E.C. si trova un archivio ZIP contenente un PDF e un VBS entrambi con filename "comunicazione clientela"; all'apertura del primo si verifica un errore che induce i target ad aprire il secondo. Il VBS esegue un PowerShell che scarica sLoad il quale resta in attesa di comandi.
Alcuni consigli su come comportarsi:
Sensibilizzare il personale ed i professionisti al fine di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l'origine.
TrickBot: distribuita la minaccia tramite falsi update di Chrome e Firefox
Attori non identificati hanno creato un falso sito Office_365 che sta distribuendo il trojan e stealer TrickBot camuffato da update per i browser Chrome e Firefox. La pagina fake è molto ben architettata e tutti i link presenti su di essa puntano a pagine ospitate su domini di Microsoft. Dopo alcuni secondi, alla vittima viene mostrato un alert che la invita ad aggiornare il browser in uso. Cliccando sul
bottone Update, verrà scaricato un eseguibile chiamato upd365_58v01.exe in grado di installare TrickBot sul PC target iniettandolo in un processo svchost.exe per mascherarne la presenza il più a lungo possibile.
Alcuni consigli su come comportarsi:
Sensibilizzare il personale ed i professionisti al fine di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l'origine.