Falso sito e-Covid SINFONIA diffonde malware
Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nuovo dominio creato Ad Hoc in data 20 Dicembre che riproduce il portale eCovid SINFONIA della Regione Campania per l’emergenza Covid19.
Il portale e-Covind SINFONIA, sviluppato da So.Re.Sa., permette ai cittadini della Regione Campania di accedere alle seguenti funzioni:
- Certificato delle vaccinazioni Covid-19, anche con dosi addizionali/booster;
- Prenotazione Open Day;
- Esiti dei tamponi antigenici, molecolari, rapidi e sierologici;
- Comunicazione dei codici NRFE, CUN, NUCG;
- Notifiche push in tempo reale;
- Monitoraggio dello stato di salute e comunicazione al proprio medico di base;
- Estendere le funzionalità al proprio nucleo familiare;
- Accesso certificato tramite SPID e/o biometrico in massima sicurezza.
Il falso sito web non solo carpisce le credenziali della vittima (username e passowrd) ma invita l’utente a scaricare un archivio contenente un malware.
Il malware sviluppato in Visual Basic 6 diffuso tramite l’archivio Documentazione_Personale_pdf.zip che al suo interno contiene l’eseguibile Documentazione_Personale_pdf.exe e ha come intento quello di carpire password, informazioni personali e finanziarie anche tramite l’acquisizione periodica della clipboard.
Invitiamo pertanto gli utenti a prestare attenzione e di non divulgare proprie informazioni sensibili (username, password, e-mail, etc).
IoC:
- https://cv19vaccinazionesanita[.]com/vaccini.php
- http://www[.]diagnosticalotti[.]it/1/Documentazione_Personale_pdf.zip
- http://assilsogno[.]altervista[.]org/getfile.php?slots=1&
- ce0b8546a65cc4336dcc37fad0733821
- e5c92d32b830125bfde5572e63ff506f
