Il CSIRT Italia – tramite l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un avviso relativo a una compromissione del meccanismo di aggiornamento di Notepad++, il noto editor di testo e codice per Windows, evidenziando un potenziale rischio per la sicurezza dei sistemi che non adottano immediatamente le contromisure indicate.
È in corso una campagna di phishing che sfrutta utenze email compromesse di Pubbliche Amministrazioni per veicolare false comunicazioni relative a Microsoft 365. I messaggi contengono link o allegati che portano a pagine contraffatte tramite la piattaforma Figma, con lo scopo di sottrarre le credenziali di accesso degli utenti.
È attualmente in corso una campagna di phishing che sfrutta l’utilizzo improprio di loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute. Le email fraudolente segnalano una presunta “scadenza imminente” della tessera sanitaria e invitano l’utente a cliccare su un link per rinnovare la tessera.
È in corso una campagna malevola che sfrutta account email compromessi di utenti appartenenti alla Pubblica Amministrazione ed è diretta, in modo massivo, verso altri utenti della PA.
Dalle segnalazioni raccolte dalle amministrazioni e analizzate dal CERT-AGID, la campagna risulta attiva dall’8 dicembre. I messaggi hanno in genere oggetto e contenuto in lingua inglese, anche se in alcuni casi il corpo del testo è in italiano. I destinatari non sono visibili perché inseriti come indirizzi in CCN. Il messaggio invita l’utente ad aprire uno o più allegati presenti nell’email.
Attualmente è in corso una campagna di malspam volta a diffondere il malware Infostealer Formbook.
L'email si presenta come una comunicazione urgente riguardante fatture non pagate e induce la vittima a reagire rapidamente aprendo l'allegato. Si avvia così la catena di compromissione che porta infine alla generazione di un file destinato a essere eseguito sulla macchina della vittima, che è proprio Formbook.
Sul sito di CERT-AGID sono già scaricabili gli indicatori di compromissione.
Il CERT-AGID ha rilevato una campagna malevola volta alla diffusione del trojan XWorm RAT, distribuito tramite email di false comunicazioni ufficiali del gestore Namirial.
L'email invita l'utente a visualizzare un documento PDF allegato e, nel caso in cui il file non si apra correttamente, suggerisce di utilizzare un link alternativo presente nel corpo del messaggio. Cliccando sul link si avvia il download di un achivio ZIP: da qui ha inizio la catena di compromissione che porta al rilascio nel dispositivo del malware XWorm RAT.
Si raccomanda agli utenti di prestare massima attenzione a comunicazioni simili e di non cliccare su link sospetti.
In queste ore gli utenti di GitHub stanno ricevendo un'email allarmante, apparentemente inviata dal "GitHub Security Team", che avvisa i destinatari di una presunta vulnerabilità di sicurezza nei loro repository e invita a cliccare su un link sospetto.
Cliccando sul link viene mostrato un avviso ingannevole che invita gli utenti a compiere tre operazioni per dimostrare di non essere un bot: premere Windows+R, poi Ctrl+V e infine Enter. In questo modo verrà avviato il download e l'esecuzione del noto malware Lumma Stealer, progettato per rubare informazioni sensibili dagli utenti, inclusi dati di accesso e informazioni personali.
Gli indicatori di compromissione rilevati sono già stati diramati attraverso il Feed IoC del CERT-AGID.
Si rende noto agli utenti che nella giornata di giovedì 12 settembre p.v., a partire dalle ore 8:30, si svolgerà un intervento di innovazione del sistema telefonico VoIP che coinvolgerà le sedi di Potenza e Matera.
Durante tali attività, si verificheranno brevi interruzioni nel funzionamento del sistema telefonico e della rete internet, Wi-Fi inclusa.
Per ottenere gli obiettivi prefissati, è indispensabile che gli apparecchi telefonici restino collegati alla rete dati.
Si confida nella collaborazione dell'utenza.
È stata individuata una campagna malware globale volta a diffondere la backdoor Voldemort, che permette ai cybercriminali di accedere liberamente a dispositivo e informazioni dell'utente.
Gli aggressori inviano email di phishing in cui si spacciano per autorità fiscali, riportando informazioni aggiornate e collegamenti a documenti pertinenti. Facendo clic sul collegamento nell'email, i destinatari vengono indirizzati a una pagina con un pulsante 'Fai clic per visualizzare il documento'. Solo gli utenti Windows visualizzano un file PDF che sembra trovarsi nella cartella Download locale e che se aperto avvia l'esecuzione di uno script Python che carica Voldemort sul dispsitivo, mentre viene visualizzato un file PDF per nascondere all'utente le attività dannose.
Si raccomanda agli utenti di prestare massima attenzione a comunicazioni simili e non cliccare su collegamenti sospetti.
L'attacco si svolge per mezzo di email PEC compromesse che trasmettono comunicazioni fraudolente all'indirizzo PEC della vittima e sollecitano il pagamento di una presunta fattura insoluta, minacciando conseguenze legali in caso di mancato adempimento.
Il messaggio invita l'utente a cliccare su un link che avvia il download di un file JavaScript malevolo.
Sono già state avviate attività di contrasto al fenomeno, tra cui il blocco di oltre 12.000 indirizzi PEC coinvolti nell'invio delle mail fraudolente.
Si raccomanda di prestare massima attenzione alle comunicazioni ricevute via PEC e di non cliccare su link sospetti. In caso di dubbi è possibile inoltrare l'email a malware@cert-agid.it per verificarne la natura.
