Falso sito e-Covid SINFONIA diffonde malware

,

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nuovo dominio creato Ad Hoc in data 20 Dicembre che riproduce il portale eCovid SINFONIA della Regione Campania per l’emergenza Covid19.

Il portale e-Covind SINFONIA, sviluppato da So.Re.Sa., permette ai cittadini della Regione Campania di accedere alle seguenti funzioni:

  • Certificato delle vaccinazioni Covid-19, anche con dosi addizionali/booster;
  • Prenotazione Open Day;
  • Esiti dei tamponi antigenici, molecolari, rapidi e sierologici;
  • Comunicazione dei codici NRFE, CUN, NUCG;
  • Notifiche push in tempo reale;
  • Monitoraggio dello stato di salute e comunicazione al proprio medico di base;
  • Estendere le funzionalità al proprio nucleo familiare;
  • Accesso certificato tramite SPID e/o biometrico in massima sicurezza.

Il falso sito web non solo carpisce le credenziali della vittima (username e passowrd) ma invita l’utente a scaricare un archivio contenente un malware.

Il malware sviluppato in Visual Basic 6 diffuso tramite l’archivio Documentazione_Personale_pdf.zip che al suo interno contiene l’eseguibile Documentazione_Personale_pdf.exe e ha come intento quello di carpire password, informazioni personali e finanziarie anche tramite l’acquisizione periodica della clipboard.

Invitiamo pertanto gli utenti a prestare attenzione e di non divulgare proprie informazioni sensibili (username, password, e-mail, etc).

IoC:

  • https://cv19vaccinazionesanita[.]com/vaccini.php
  • http://www[.]diagnosticalotti[.]it/1/Documentazione_Personale_pdf.zip
  • http://assilsogno[.]altervista[.]org/getfile.php?slots=1&
  • ce0b8546a65cc4336dcc37fad0733821
  • e5c92d32b830125bfde5572e63ff506f