Il CERT-AGID ha pubblicato oggi Lunedì 18 Ottobre un alert relativo ad una campagna di spam, attiva già da ieri, rivolta contro la pubblica amministrazione: è una campagna di email di spam che sfrutta il nome del popolare software per la firma digitale Dike e il marchio InfoCert per installare sui dispositivi infetti un software per il controllo remoto.
Qualche info tecnica
Dal sito ufficiale del CERT apprendiamo che questo è il testo dell'email che viene diffuso in queste ore principalmente verso account della Pubblica Amministrazione
Fonte: https://cert-agid.gov.it |
Come si vede, l'oggetto rimanda ad un fantomatico "aggiornamento critico" di Dike, il programma per la firma digitale di InfoCert molto diffuso nella PA, ma anche nel settore privato.
L'email contiene un allegato in formato PDF contenente un link che conduce al download di un file chiamato Dike_Infocert_upgrade.msi: questo, spiegano gli esperti del CERT, viene scaricato dal dominio infocert-dike[.]firstcloudit[.]com.La pagina che viene visualizzata è quella sottostante: si vede il ricorrere del marchio InfoCert per dare legittimità alla pagina
Fonte: https://cert-agid.gov.it |
Il download ovviamente non contiene alcun aggiornamento per Dike: al contrario installa sul dispositivo della vittima AteraAgent, un software di controllo da remoto legittimo ma usato, in questo caso, come fosse un vero e proprio Remote Access Trojan.
Non è la prima volta
La campagna individuata in questi giorni non è affatto nuova: al contrario, una fotocopia di questa fu diffusa già nel Luglio di quest'anno. Anche in quel caso, gli attaccanti abusavano di Dike e del marchio InfoCert.
Lo schema era assolutamente fotocopia: una email con oggetto "Aggiornamento critico Dike" viene inviata a migliaia di account della PA. Questa contiene un allegato in formato PDF che rimanda al download di un file Dike_Infocert_upgrade.msi.
Ecco come si presentava la mail diffusa nel mese di Luglio, anch'essa prontamente denunciata dal CERT:
Fonte: https://cert-agid.gov.it |
Soluzione e indicatori di compromissione
Gli esperti del CERT garantiscono che l'infezione è facilmente risolvibile: AterAgent infatti è un sowftare legittimo che, una volta installato, viene regolarmente visualizzato nell'elenco delle applicazioni di Windows. Basterà procedere quindi alla sua disinstallazione come fosse un qualsiasi programma.
Gli indicatori di compromissione diramati dal CERT per la campagna attualmente in corso sono disponibili qui.
Nessun commento:
Posta un commento