Il CERT-PA ha rilevato l’esistenza di una campagna malevola osservata per la prima volta in data 05/10/2019 veicolata da PEC italiane compromesse, indirizzata ancora una volta verso indirizzi di posta riferibili a caselle PEC di strutture pubbliche, private e di soggetti iscritti a ordini professionali.
Le mail malevole, aventi come oggetto “Invio File <XXXXXXXXXX>”, menzionano un allegato dal nome ITYYYYYYYYYY_1bxpz.XML.p7m che comunque non compare come file all’interno dell’email.
L’assenza dell’allegato potrebbe far pensare a una “dimenticanza” e quindi a una campagna errata, ma considerata la modalità con cui è stata strutturata la mail, è chiaro che si tratti di phishing mirato alla “raccolta di informazioni”, probabilmente in attesa di un successivo attacco mirato. Infatti, la comunicazione fa riferimento a un “nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio“, tale indirizzo coincide sempre con il mittente della casella compromessa controllata dall’attaccante.
Si osserva che:
- il display name [1] del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
- il mittente effettivo [2] è una casella PEC di una società italiana.
Dalle indagini effettuate dal CERT-PA, in collaborazione con i gestori PEC, risultano essere state sfruttate circa 500 account PEC compromesse per inviare un totale di 265.000 messaggi di phishing negli ultimi 7 giorni.
Conclusioni
La campagna di diffusione risulta in corso a danno di molte utenze italiane titolari di caselle PEC. Si consiglia pertanto non dar seguito a comunicazioni PEC provenienti da utenze “sconosciute” e che richiedono di modificare l’indirizzo di recapito per le successive comunicazione con il Sistema di Interscambio.
Aggiornamento:
- I phisher hanno clonato una comunicazione PEC lecita emessa a inizio mese da Sogei contestualmente al Sistema di Interscambio.
- Il corpo della mail contiene al suo interno un richiamo ad una risorsa remota, trattasi di un meccanismo di tracking che si abilita all’apertura della mail e punta al seguente dominio: “pattayajcb[.]com“
Aggiornamento del 15 ottobre 2019
Ieri l’Agenzia delle Entrate ha pubblicato un comunicato stampa relativo a questo caso di phishing. A tal proposito, l’Agenzia ricorda che i messaggi Pec del sistema SdI hanno alcune specifiche caratteristiche:
- il mittente è solo del tipo [email protected] dove NN è un progressivo numerico a due cifre;
- il messaggio deve contenere necessariamente due allegati composti in accordo alle specifiche tecniche sulla Fatturazione Elettronica (pubblicate sul sito dell’Agenzia delle Entrate).
>> Fonte: Cert-PA
