Una falsa patch per la firma digitale, diffonde malware!

cybersecurity@poliverso.org

Una falsa patch per la firma digitale, diffonde malware! Attenzione alla truffa

In data odierna – avverte il Cert-AGiD – sono pervenute segnalazioni da parte di Pubbliche Amministrazioni riguardo a una campagna malevola mirata diffusa in queste ore.

Email malevola

L’e-mail fraudolenta, sfruttando un presunto aggiornamento urgente di un software di firma digitale, induce gli utenti a cliccare sul link presente nel corpo del messaggio con lo scopo di scaricare un file ZIP contenente un VBS malevolo.

File VBS malevolo

Il file VBS non adotta tecniche di offuscamento e il codice risulta commentato in italiano, suggerendo l’uso di strumenti AI da parte di un threat actor italiano o, in alternativa, il tentativo di sviare l’attribuzione.

L’obiettivo è l’installazione di Action1, uno strumento legittimo normalmente utilizzato per la gestione remota di patch e la risoluzione delle vulnerabilità presenti sui sistemi da parte degli amministratori IT, ma che in questo contesto viene sfruttato da attori malevoli per ottenere accesso non autorizzato ai dispositivi compromessi.

Analisi del file MSI

Per il CERT-AGID si tratta della prima evidenza in Italia dell’abuso di questo strumento da parte di attori malevoli, sebbene a livello internazionale sia già noto per essere stato sfruttato in campagne di distribuzione di malware, incluso dal gruppo ransomware Conti.

Analogamente a quanto accaduto con altri prodotti leciti di remote management, come ScreenConnect, i criminali informatici sfruttano software firmati e legittimi per ridurre la probabilità di rilevazione da parte delle soluzioni di sicurezza.

Al momento non è stato identificato il malware o il payload finale che potrebbe essere distribuito; è verosimile che gli attori malevoli stiano attendendo il momento più opportuno per rilasciarlo.

Azioni intraprese e suggerimenti

Il CERT-AGID ha avviato le opportune attività di contrasto alla campagna, diffondendo gli IoC relativi e contattando il Gestore di Firma interessato. Invita inoltre le Pubbliche Amministrazioni e, più in generale, tutti gli utenti che abbiano ricevuto questa email a:

non cliccare sul link contenuto nel messaggio;
utilizzare gli Indicatori di Compromissione (IoC) messi a disposizione dal CERT-AGID per effettuare le opportune verifiche;
usare il tool hashr per la ricerca di file malevoli all’interno dei propri sistemi;
in caso di compromissione, isolare immediatamente il dispositivo e segnalare l’incidente al CSIRT Italia.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioniaccreditate al flusso IoCdel CERT-AGID.

Link:Download IoC

L'articolo Una falsa patch per la firma digitale, diffonde malware! Attenzione alla truffa proviene da il blog della sicurezza informatica.

Citiverse

Navigazione

Account

Navigazione

Account

Una falsa patch per la firma digitale, diffonde malware!

Azioni intraprese e suggerimenti

Indicatori di Compromissione

Will edit and blur-out state propaganda videos for OSINT for $50

Prima ChatGPT ora Grok: 370mila chat private finiscono indicizzate su Google

The importance of not getting hacked!

The head of operations at France's anti-disinformation agency VIGINUM has left for the private sector.

Ask Hackaday: Where Are All the Fuel Cells?

"C'è un alto numero di dispositivi e servizi eterogenei (ad esempio telecamere di sorveglianza, Internet of things, router industriali, ecc.) esposti su Internet in maniera insicura, come dimostran...

Di sicuro la sbobba IA ce la terremo nelle mail di spam/scam/business farming.

Make Firefox Nice Again https://blog.quintarelli.it/2025/08/make-firefox-nice-again/