Il CERT-PA ha pubblicato una nota per allertare sugli effetti dannosi della campagna di diffusione malware attraverso il dominio documenticertificati[.]com.
Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.
ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.
L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.
Come arriva il malware
Il link al download arriva all'utente finale tramite una email proveniente dall'account "admin[@]documenticertificati[.]com" e veicolata attraverso il servizio "mailjet[.]com". La mail dal titolo "Consegna documenti per XXXX" riporta nel corpo del messaggio le credenziali per scaricare la finta "pratica"(con XXX personalizzato per il destinatario). Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l'altro JAR.