Monitoraggio AGID in riferimento attacco PEC fornite da ARUBA ai colleghi ingegneri iscritti all’albo di Roma

Il CERT-PA (Team AGID – Agenzia per l’Italia Digitale) – ha rilevato una campagna di malspam veicolata a partire da martedì 4 giugno 2019, attraverso caselle PEC di strutture pubbliche e private precedentemente compromesse, indirizzata verso utenze italiane ed, in particolare, verso caselle di posta elettronica certificata PEC riferibili all’Ordine degli Ingegneri della Provincia di Roma (in calce uno screenshot della mail tipo)

Cliccando il link viene restituita una risorsa .zip solo se l’utente risolve la url da una macchina Windows.

Il file scaricato “ultima-comunicazione-KE0907532.zip” contiene all’interno due file che attivano codice e procedure infettanti il proprio sistema operativo.

Nel caso in cui sia stato contratto il malware è possibile tentare di rimuoverlo effettuando le seguenti azioni di remediation:

i)Rimuovere innanzitutto l’archivio zip scaricato “ultima-comunicazione-KE0907532.zip”

ii)Controllare le attività pianificate di windows digitando taskschd.msc in start/esegui o schtasks.exe nel prompt dei comandi (cmd), o dalle “utilità di sistema” all’interno del menu start;

iii)Rimuovere eventuali cartelle sospette aventi una nomenclatura di tipo alfanumerica e di lunghezza pari a 6 caratteri (es. 13021F) presenti all’interno del percorso C:\Users\ancestor\AppData\Roaming