Sicurezza: diffusione di malware attraverso il dominio “documenticertificati.com”

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Riporto di seguito maggiori approfondimenti destinati ai tecnici provenienti dal sito di CERT-PA

(link is external).

Dettaglio News

Attività malevola attraverso il dominio “documenticertificati.com”

13/03/2018

In data odierna il CERT-PA (Computer emergency response team – Pubblica Amministrazione) è venuto a conoscenza di una attività malevola di diffusione malware attraverso il dominio documenticertificati[.]com che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.

È quasi superfluo sottolineare che il dominio in oggetto non ha alcun legame con AgID e/o il circuito SPID.

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”.

La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”. (con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, verrà proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Indicatori di Compromissione

DocumentiCV.exe

MD5: 32afb5d9d3ed93fdaf0cae35063dd53e

URL: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.html

STIX: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.stix

LettoreDOC.jar

MD5: a76e9730dd08c15ef57919ac62a5d435

URL: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.html

STIX: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.stix

L’analisi dei sample è in corso, nuovi dettagli verranno forniti nell’apposito bollettino di prossima emissione.

(Visited 81 times, 1 visits today)