Cert-PA lancia l’allarme a fronte di una massiva campagna di Phishing veicolata su PEC con finti riferimenti a fatture firmate (.p7m)

Scam in testa alla classifica dei crimini online

Il CERT-PA ha rilevato l’esistenza di una campagna malevola osservata per la prima volta in data 05/10/2019 veicolata da PEC italiane compromesse, indirizzata ancora una volta verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali.

Le mail malevole, aventi come oggetto “Invio File <XXXXXXXXXX>”, menzionano un allegato dal nome ITYYYYYYYYYY_1bxpz.XML.p7m che comunque non compare come file all’interno dell’email.

L’assenza dell’allegato potrebbe far pensare a una “dimenticanza” e quindi a una campagna errata, ma considerata la modalità con cui è stata strutturata la mail, è chiaro che si tratti di phishing mirato alla “raccolta di informazioni”, probabilmente in attesa di un successivo attacco mirato. Infatti, la comunicazione fa riferimento a un nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio“, tale indirizzo coincide sempre con il mittente della casella compromessa controllata dall’attaccante.

Di seguito uno screenshot del phishing veicolato:

Si osserva che:

  • il display name [1] del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
  • il mittente effettivo [2] è una casella PEC di una società italiana.

Dalle indagini effettuate dal CERT-PA, in collaborazione con i gestori PEC, risultano essere state sfruttate circa 500 account PEC compromesse per inviare un totale di 265.000 messaggi di phishing negli ultimi 7 giorni.

Aggiornamenti:

  • I phisher hanno clonato una comunicazione PEC lecita emessa a inizio mese da Sogei contestualmente al Sistema di Interscambio.
  • Il corpo della mail contiene al suo interno un richiamo ad una risorsa remota, trattasi di un meccanismo di tracking che si abilita all’apertura della mail e punta al seguente dominio: “pattayajcb[.]com

Conclusioni

La campagna di diffusione risulta in corso a danno di molte utenze italiane titolari di caselle PEC. Si consiglia pertanto non dar seguito a comunicazioni PEC provenienti da utenze “sconosciute” e che richiedono di modificare l’indirizzo di recapito per le successive comunicazione con il Sistema di Interscambio.