Il malware stealer colpisce l’Italia

Indice

Come molti altri paesi anche l’Italia è stata oggetto del malware stealer che ha sottratto credenziali importanti a soggetti quali l’Agenzia delle Entrate, il MEF, e altri. Ci si domanda quale sia la resistenza del perimetro cibernetico e come si possa garantire adeguatamente la sicurezza dei dati ma approfondiamo l’argomento.

Che cosa è uno stealer

Essenzialmente è un virus trojan che si presenta sotto forma di aggiornamento di uno degli applicativi comunemente installati ingannando l’utente. Quando entra in azione, il suo scopo è catturare le credenziali memorizzate e/o digitate sul sistema. Secondo TrendMicro la definizione è:

An information stealer (or info stealer) is a Trojan that is designed to gather information from a system. The most common form of info stealer gathers login information, like usernames and passwords, which it sends to another system either via email or over a network. Other common information stealers, such as keyloggers, are designed to log user keystrokes which may reveal sensitive information.

Fonte: TrendMicro (LINK)

Dal 2020 c’è stato un considerevole aumento degli stealer: c’è il BloodyStealer che si può anche affittare oltre che comprare, ma anche il RedLine Stealer. La minaccia è crescente proprio per la sua capacità di essere facilmente commercializzata. Ma l’Italia, in teoria era preparata a questo. C’è un bellissimo articolo del CERT di AgID che spiega come funziona questo tipo di minaccia e come affrontarla.

RedLine stealer è tra i più noti malware utilizzati dai criminali per esfiltrare informazioni. È attivo nel mercato dagli inizi del 2020 e da allora è stato visto circolare al di fuori dell’Italia mascherato da utility o gioco. Si tratta di uno dei tanti prodotti venduti come MaaS, contattando gli autori tramite Telegram e sottoscrivendo un abbonamento che varia da 150$ per un mese fino a 800$ per tre mesi, con l’aggiunta di ulteriori “bonus”. I suoi autori sono molto attivi su Telegram ed hanno creato diversi canali per fornire supporto e informazioni sui nuovi rilasci. La versione attuale, pubblicata lo scorso 1 settembre 2021, è la 21.2 e vanta compatibilità con la precedente piattaforma di gestione ed una detection di 5/26 antivirus.

Fonte: CERT-AgID (LINK)

Tuttavia, nonostante la conoscenza diffusa dal CERT di AgID qualcosa è andato storto perchè i target riportati all’interno del file pubblicato da DarkTracer, sono rilevanti.

Che cosa è successo

Il gruppo di analisti di sicurezza DarkTracer ha pubblicato su Twitter una notizia in merito alle credenziali rubate dallo stealer. Si tratterebbe di oltre 1.750.000 credenziali rubate a più di 40.000 enti governativi nel mondo, tra cui anche l’Italia. Il malware è divenuto famoso per la sua efficacia. Si tratterebbe di un malware in grado di installarsi sotto forma di aggiornamento di sistema. Nell’elenco purtroppo ci sono anche sistemi italiani di cui alcuni molto importanti.

Tra i più rilevanti ci sono:

TargetCredenziali rubate
telematici.agenziaentrate.gov.it2.152
access.mef.gov.it505
noia.mef.gov.it321
dichiarazioneprecompilata.agenziaentrate.gov.it309
servizi.anpa.gov.it304

L’elenco dei target italiani

telematici.agenziaentrate.gov.it
access.mef.gov.it
noipa.mef.gov.it
dichiarazioneprecompilata.agenziaentrate.gov.it
servizi.anpal.gov.it
sister.agenziaentrate.gov.it
sinopolis.gov.it
ivaservizi.agenziaentrate.gov.it
agendacie.interno.gov.it
accessnoipa.mef.gov.it
myanpal.anpal.gov.it
servizi.agenziaentrateriscossione.gov.it
provincia.viterbo.gov.it
agenziaentrate.gov.it
cliclavoro.gov.it
palizzicasoria.gov.it
wisp2.pagopa.gov.it
730precompilato.agenziaentrate.gov.it
impresainungiorno.gov.it
pg.camcom.gov.it
bo-bdap.mef.gov.it
iampe.agenziaentrate.gov.it
isvap.sviluppoeconomico.gov.it
login.cittametropolitanaroma.gov.it
unioncamere.gov.it
servizionline.enac.gov.it
concorsi.gdf.gov.it
palladio-tv.gov.it
signup.cittametropolitanaroma.gov.it
bdap-operatori.mef.gov.it
miur.gov.it
webmail.guardiacostiera.gov.it
web.inpdap.gov.it
russell-fontana.gov.it
scuolamediapadrepio.gov.it
servizi.lavoro.gov.it
co.lavoro.gov.it
refertionline.asrem.gov.it
concorsionline.gdf.gov.it
etnaonline.comune.catania.gov.it
login.anpal.gov.it