Phishing e malware, state lontani dal sito documenticertificati.com

Si è venuti a conoscenza di una attività malevola di diffusione malware attraverso il dominio di un sito internet https documenticertificati.com, che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e Spid. Il CERT-PA (Computer Emergency Response Team Pubblica Amministrazione), la struttura preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni, ha spiegato in una nota che questo dominio non ha alcun legame con AgID e/o il circuito Spid.

La struttura si è mossa subito per allertare gli utenti sugli effetti dannosi della campagna di diffusione malware attraverso il dominio incriminato, spiegando come avviene l’attacco. Il link al download arriva all’utente finale tramite una email proveniente dall’account admin@documenticertificati.com e veicolata attraverso il servizio “mailjet.com”.

La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”. (con XXX personalizzato per il destinatario). Una volta inserite le credenziali, verrà proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR. Una campagna phishing ben organizzata, rafforzata dall’autorevolezza dei loghi dell’Agenda Digitale e del Sistema Pubblico di Identità Digitale e dalla percepita sicurezza del sito https. (fonte)