Autore: TheKing

Dalla tarda mattinata del 29/10 il CERT-PA ha rilevato il vasto utilizzo di caselle PEC, precedentemente compromesse, utilizzate per veicolare il malware FTCODE che nelle scorse settimane è stato ampiamente utilizzato in diversi attacchi verso strutture della PA o caselle di aziende e professionisti.

La peculiarità rilevata nella variante odierna è che, oltre agire come ransomware avviando la cifratura dei dati degli utenti, attiva una serie di funzionalità di “info-stealer” ed in particolare tenta di catturare le credenziali immagazzinate nei comuni software quali:

• FireFox
• Chrome
• Outlook
• IE
• Thunderbird

Questa particolarità fornisce un duplice vantaggio agli attaccanti ovvero quella di recuperare informazioni, che possono essere riutilizzate per scopi illeciti, quindi monetizzare tramite la richiesta di riscatto conseguente la cifratura dei file personali.

La campagna osservata è inoltre particolarmente insidiosa perché utilizza caselle PEC mittenti sempre diversi oltre a innumerevoli oggetti che fanno anche riferimento a comunicazioni pregresse.

Di seguito un esempio tra quelli rilevati:

 

Alcuni degli oggetti identificati nella campagna in corso sono:

• esposto circa la SOGEI
• candidatura Profilo F1
• 272435426
• Ricevuta protocollo
• INAIL Comunica [9633468]
• Fatture Ottobre 2019
• POSTA CERTIFICATA: Candidatura profilo F2
• ReRicevuta protocollo
• Nota prot n 114438 del 18092019
• 5Piano Triennale per l’informatica nella Pubblica Amministrazione 20172019 Definizione dei piani di adesione e attivazione a PagoPA
• AVVISO 012016profio F2

L’oggetto non è un elemento caratteristico per l’identificazione della campagna, ma sono da ritenere altamente sospetti tutti i messaggi PEC in cui l’oggetto è utilizzato anche nel corpo sotto forma di un link internet.

Nello specifico il link redirige verso fonti esterne dalle quali viene scaricato un file archivio .zip contenete file con estensione .vbs.

Sono in corso aggiuntive analisi sul malware e verifiche atte al recupero di indicatori di compromissione.

Indicatori di Compromissione

Si consiglia di utilizzare gli IoC seguenti per arginare l’infezione.

• IoC (.txt) – URL, domini, hash;
• Hashr (.txt) – SHA256

---

fonte: cert-pa.it

In data 3 ottobre 2019, Microsoft ha provveduto al rilascio di due nuovi aggiornamenti (KB4524147 – OS Build 18362.388 e KB4524148 – OS Build 17763.775) con lo scopo di migliorare i parametri di sicurezza e risolvere alcuni malfunzionamenti generati da aggiornamenti precedentemente rilasciati. Tuttavia, tali aggiornamenti hanno comportato l’insorgere di nuove problematiche, tra cui le più significative sono un funzionamento altalenante del tasto Start e difficoltà di stampa particolarmente rilevanti (fino ad arrivare a veri e propri blocchi dei dispositivi di stampa collegati).

Per chi non avesse ancora provveduto ad eseguire gli aggiornamenti, suggeriamo di attendere fino al rilascio di quelli “corretti”. Per chi, invece, avesse già proceduto con l’installazione, l’unica soluzione disponibile alla data odierna è la disinstallazione degli aggiornamenti stessi, la quale può avvenire tramite la seguente procedura:

1. Cliccare sulla ricerca di Cortana e digitare Pannello di Controllo
2. Aprire il Pannello di Controllo individuare e cliccare su Programmi e funzionalità
3. Sulla parte sinistra cliccare su Visualizza aggiornamenti installati
4. Cliccare con il tasto destro sulla KB4524147 o la KB4524148
5. Scegliere Disinstalla
6. Procedere fino al riavvio del computer

Le mail PEC adottano il nuovo protocollo di sicurezza TLS 1.2. (come richiesto da AgID)

Potrebbe quindi verificarsi l’impossibilità di utilizzare la PEC, ricevendo il messaggio “il server non supporta il tipo di crittografia di connessione specificato”.

Le mail PEC utilizzano livelli di sicurezza superiori rispetto alla posta elettronica comune, infatti sono caratterizzate da pieno valore legale.

Come richiesto da AgID, il servizio di PEC nazionale è stato adeguato alla versione TLS 1.2 (protocollo di comunicazione sicura). Per tale motivo, tutti i protocolli precedenti al TLS 1.2 (TLS 1.0, TLS 1.1) dovranno essere dimessi entro il 21 ottobre 2019, ma già da oggi emergono i primi errori di funzionalità mail PEC.

Per esempio, se cerchi di accedere alla webmail PEC con un browser (Chrome, Mozilla Firefox, Internet Explorer, Opera etc.) non aggiornato oppure attraverso un client di posta non aggiornato, potresti verificare problemi all’accesso.

Che errore visualizzo?

***
“Il server non supporta il tipo di crittografia delle connessioni specificate. Prova a cambiare il metodo di crittografia.
Your server does not support the connection encryption type you have specified”

oppure

“Password errata”
***

Chi sicuramente riscontrerà problemi?

Riscontrerai problemi se utilizzi questi sistemi:

• Windows 7 con Outlook qualsiasi versione
• Windows 7 con Thunderbird più vecchi della versione 45.6 (45.5, 45.4, 45.3)
• Windows 8 con Outlook più vecchi del 2010 (Outlook 2003, 2000) o Thunderbird più vecchi del 45.6 (45.5, 45.4, 45.3)
• Windows 10 con Outlook più vecchi del 2010 (Outlook 2003, 2000) o Thunderbird più vecchi del 45.6 (45.5, 45.4, 45.3)

Come devo operare?

Windows 7 con Outlook
1) Chiudi tutti i programmi (non il computer),
2) Scarica ed esegui questo file hotfix1
3) Scarica ed esegui questo file hotfix2
4) Riavvia il computer.

Windows 7 con Thunderbird
Scarica l’ultima versione di Thunderbird, oppure verifica che la tua versione in uso sia successiva alla 45.6

Windows 8 con Outlook 2003
Devi aggiornare Outlook almeno alla versione 2010.

Windows 8 con Thunderbird
Scarica l’ultima versione di Thunderbird, oppure verifica che la tua versione in uso sia successiva alla 45.6

Windows 10 con Outlook 2003
Devi aggiornare Outlook almeno alla versione 2010.

Windows 10 con Thunderbird
Scarica l’ultima versione di Thunderbird, oppure verifica che la tua versione in uso sia successiva alla 45.6

Per i tecnici di studio

Se per accedere alla webmail PEC utilizzi il nostro portale web i parametri richiesti sono i seguenti:

Sistema Operativo		Versione minima supportata	Browser	Versione minima supportata
Mobile	Android	4.4.2	Tutti	Tutti
	Apple iOS	Nessuna restrizione	Tutti	Nessuna restrizione
	Windows Phone	8.1	Internet Explorer	11
Desktop	OS X	10.9	Safari	7.x
			Chrome	34.x
			Firefox	29.x
	Winodws XP	SP3	Chrome	49.x
			Firefox	49.x
	Windows 7	Tutte	Chrome	30.x
			Firefox	31.3.0 ESR/45.x
			Internet Explorer	11
			Opera	17.x
	Windows 8	8.0	Firefox	27
		8.1	Internet Explorer	11
	Windows 10	Nessuna restrizione	Tutti	Nessuna restrizione
	GNU/Linux (qualsiasi distribuzione)	Nessuna restrizione	Firefox	27.x
			Chrome	37.x

 

Nel caso di utilizzo di client di posta, come Outlook, Apple Mail o Thunderbird, i parametri sono i seguenti:

Client di posta		Versione minima​ supportata	Sistema operativo	Versione minima​ supportata
Mobile	Mail	Nessuna restrizione	iOS	11.x
			Android	5.x
Desktop	Apple Mail		Nessuna restrizione	OSX	10.12 (Sierra)
	Outlook	2003	Nessuna restrizione	Nessuna restrizione*
	Outlook 2011	2011	MAC OSX	Solo sulle versioni 10.11 – 10.13
	Thunderbird	45.6	Nessuna restrizione	Nessuna restrizione