Con cadenza quasi giornaliera, CERT-AgID fa il punto della situazione e ragguaglia i suoi lettori riguardo alle minacce più importanti rivolte verso il nostro paese, spiegando anche tecnicamente in cosa consistono, come proteggersi e anche come rimediare se si è stati sfortunatamente vittime. Questa settimana vediamo due novità alle quali gli interessati dovranno prestare attenzione poiché come al solito i rischi sono piuttosto alti.
Si parte con la descrizione di una nuova minaccia chiamata Lumma Stealer e che, come si può evincere dal nome, ha l’obiettivo di trafugare dati delle vittime insinuandosi nei sistemi. CERT-AgID ha pubblicato a tale proposito un approfondimento per raccontare come utilizzi ultimamente alcune tattiche che possano trarre più facilmente in inganno le potenziali vittime. Si spiega quindi che nelle ultime segnalazioni si è notato che vengono usati dei falsi CAPTCHA che vengono inseriti in portali malevoli facendo leva sulla fiducia solitamente riposta dagli utenti verso questi strumenti che sarebbero, in teoria, volti alla protezione di quest’ultimi, visto che verificano “l’umanità” di chi sta cliccando. Facendo clic su questi CAPTCHA, invece, l’utente darebbe il via a script malevoli, cosa che viene notata in una campagna dell’ottobre 2024 dove si diceva alle potenziali vittime che era presente una vulnerabilità nella repository di GitHub e si chiedeva di fare clic su un determinato link per rimediare. Dopo il clic l’utente trovava proprio un CAPTCHA fasullo che, se cliccato, dava il via all’esecuzione di uno script malevolo che portava all’installazione proprio del malware Lumma Stealer.
Nei giorni scorsi invece gli osservatori hanno visto una nuova campagna verso l’Italia che utilizzava un dominio .it compromesso per poter diffondere Lumma Stealer e sempre mediante la creazione di un CAPTCHA fasullo che avrebbe colpito i visitatori provenienti da dispositivi con sistema operativo Windows. Una volta che ha fatto breccia, il malware trafuga dati importanti quali accessi, portafogli digitali ed una serie di informazioni personali. Per porre fine allo sfruttamento di questo dominio .it, CERT-AGID ha avvisato il provider ed il proprietario chiedendo di intervenire e di rimuovere il contenuto malevolo.
Passiamo poi al secondo caso riscontrato questa settimana sul nostro territorio ovvero una mera campagna di phishing che sfrutta nomi e loghi del Ministero della Salute per rubare una lunga serie di dati alle vittime, compresi quelli finanziari. Nel corpo della mail, costruita per essere maggiormente scambiabile per veritiera, viene scritto al destinatario che deve ricevere un rimborso di centinaia di Euro dal servizio sanitario e che per farlo deve fare clic su un link. All’interno della pagina d’atterraggio, costruita sempre per sembrare credibile, è presente un form nel quale si è tenuti a scrivere dati anagrafici come nome, residenza e numero di telefono ma soprattutto i dati della carta di credito. Dopo aver inserito tutto viene chiesto di fare clic e nella pagina successiva si vede un messaggio di errore con la richiesta di inserire nuovamente i dati della carta di credito. Questo viene fatto per due principali motivi, ovvero perché magari c’erano errori di scrittura nel primo tentativo oppure, nel secondo caso, perché magari la vittima potrebbe inserire un’altra carta dando modo ai truffatori di trafugarne due “al prezzo di una”.