Si invita a porre estrema attenzione alla notizia diffusa dall’AGID.
Massiva campagna via PEC diffonde FTCODE con nuove funzionalità.
Il CERT-PA ha rilevato il vasto utilizzo di caselle PEC, precedentemente
compromesse, utilizzate per veicolare il malware FTCODE che nelle
scorse settimane è stato ampiamente utilizzato in diversi attacchi verso
strutture della PA o caselle di aziende e professionisti.
La peculiarità rilevata nella variante odierna è che, oltre agire come
ransomware avviando la cifratura dei dati degli utenti, attiva una serie
di funzionalità di “info-stealer” ed in particolare tenta di catturare
le credenziali immagazzinate nei comuni software quali:
FireFox
Chrome
Outlook
IE
Thunderbird
Questa particolarità fornisce un duplice vantaggio
agli attaccanti ovvero quella di recuperare informazioni, che possono
essere riutilizzate per scopi illeciti, quindi monetizzare tramite la
richiesta di riscatto conseguente la cifratura dei file personali.
La campagna osservata è inoltre particolarmente insidiosa perché
utilizza caselle PEC mittenti sempre diversi oltre a innumerevoli
oggetti che fanno anche riferimento a comunicazioni pregresse.
Di seguito un esempio tra quelli rilevati:
Alcuni degli oggetti identificati nella campagna in corso sono:
esposto circa la SOGEI
candidatura Profilo F1
272435426
Ricevuta protocollo
INAIL Comunica [9633468]
Fatture Ottobre 2019
POSTA CERTIFICATA: Candidatura profilo F2
ReRicevuta protocollo
Nota prot n 114438 del 18092019
5Piano Triennale per l’informatica nella Pubblica Amministrazione 20172019 Definizione dei piani di adesione e attivazione a PagoPA
AVVISO 012016profio F2
L’oggetto non è un elemento caratteristico per
l’identificazione della campagna, ma sono da ritenere altamente sospetti
tutti i messaggi PEC in cui l’oggetto è utilizzato anche nel corpo
sotto forma di un link internet
Nello specifico il link redirige verso fonti esterne dalle quali viene
scaricato un file archivio .zip contenete file con estensione .vbs.
Sono in corso aggiuntive analisi sul malware e verifiche atte al recupero di indicatori di compromissione.
LINK: https://www.cert-pa.it/notizie/massiva-campagna-via-pec-diffonde-ftcode-con-nuove-funzionalita/
GUIDA PER IL PRIMO SOCCORSO DEL PC: https://www.pcrisk.it/guide-per-la-rimozione/9403-ftcode-ransomware