Campagna malware abusa di strumenti di RMM legittimi tramite falsa condivisione di documenti
⚠️È stata osservata dal CERT-AGID una nuova campagna malevola a tema condivisione documenti, che riprende lo schema già osservato nella precedente distribuzione della finta patch per la firma digitale.
🎯 L’obiettivo è l’installazione di #PDQConnect, uno strumento legittimo di gestione remota normalmente usato dagli amministratori IT, ma sfruttato in questo caso per finalità malevole.
💡 Suggerimenti
🔘 non cliccare sul link contenuto nel messaggio
🔘 utilizzare gli IoC messi a disposizione dal CERT-AGID per effettuare le opportune verifiche
🔘 usare il tool hashr per la ricerca di file malevoli
🔘 in caso di compromissione, isolare immediatamente il dispositivo e segnalare l’incidente al CSIRT Italia
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/
⚠️È stata osservata dal CERT-AGID una nuova campagna malevola a tema condivisione documenti, che riprende lo schema già osservato nella precedente distribuzione della finta patch per la firma digitale.
🎯 L’obiettivo è l’installazione di #PDQConnect, uno strumento legittimo di gestione remota normalmente usato dagli amministratori IT, ma sfruttato in questo caso per finalità malevole.
💡 Suggerimenti
🔘 non cliccare sul link contenuto nel messaggio
🔘 utilizzare gli IoC messi a disposizione dal CERT-AGID per effettuare le opportune verifiche
🔘 usare il tool hashr per la ricerca di file malevoli
🔘 in caso di compromissione, isolare immediatamente il dispositivo e segnalare l’incidente al CSIRT Italia
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/
🇮🇹🎓 False comunicazioni riguardanti il Politecnico di Milano usate per veicolare FormBook
⚠️ È stata osservata dal CERT-AGID una campagna malevola veicolata tramite email all'apparenza provenienti dal Politecnico di Milano. I messaggi, ben formattati e curati, invitano il destinatario a presentare un'offerta per un presunto progetto.
🎯 L’obiettivo è l’installazione di #FormBook, trojan ampiamente diffuso e progettato per sottrarre credenziali e dati sensibili.
💡 Raccomandazioni
➤ verificare l'orgine dei messaggi e la correttezza dell'indirizzo mittente
➤ non aprire allegati con estensioni insolite: possono essere script o eseguibili malevoli
➤ diffidare di allegati compressi specie se inviati da mittenti sconosciuti
➤ segnalare i messaggi sospetti a [email protected]
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/
⚠️ È stata osservata dal CERT-AGID una campagna malevola veicolata tramite email all'apparenza provenienti dal Politecnico di Milano. I messaggi, ben formattati e curati, invitano il destinatario a presentare un'offerta per un presunto progetto.
🎯 L’obiettivo è l’installazione di #FormBook, trojan ampiamente diffuso e progettato per sottrarre credenziali e dati sensibili.
💡 Raccomandazioni
➤ verificare l'orgine dei messaggi e la correttezza dell'indirizzo mittente
➤ non aprire allegati con estensioni insolite: possono essere script o eseguibili malevoli
➤ diffidare di allegati compressi specie se inviati da mittenti sconosciuti
➤ segnalare i messaggi sospetti a [email protected]
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/
Sintesi riepilogativa delle campagne malevole nella settimana del 13 – 19 settembre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 43 con obiettivi italiani e 30 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 776 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di phishing ai danni dell’Agenzia delle Entrate finalizzata a rubare wallet di criptovalute.
➡️ Analizzata una campagna malware che sfrutta PDQConnect, strumento legittimo di gestione remota.
➡️ Osservata una campagna FormBook che usa false comunicazioni riguardanti il Politecnico di Milano per veicolare il malware.
💣 #IoC 776
🦠 #Malware 19 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-settembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 43 con obiettivi italiani e 30 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 776 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di phishing ai danni dell’Agenzia delle Entrate finalizzata a rubare wallet di criptovalute.
➡️ Analizzata una campagna malware che sfrutta PDQConnect, strumento legittimo di gestione remota.
➡️ Osservata una campagna FormBook che usa false comunicazioni riguardanti il Politecnico di Milano per veicolare il malware.
💣 #IoC 776
🦠 #Malware 19 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-settembre/
🇮🇹 Campagna di #phishing in corso che sfrutta nome e logo di INPS
🎯 Come nelle precedenti campagne rilevate dal CERT-AGID, gli attaccanti mirano a sottrarre dati personali agli utenti promettendo un'erogazione di denaro da parte di #INPS.
Oltre alle generalità e all'IBAN, alle vittime viene richiesto il caricamento di foto scattate ai seguenti documenti:
👨⚕️ carta d’identità (fronte e retro)
🎫 tessera sanitaria (fronte e retro)
🎟 patente di guida (fronte e retro)
📃 ultime tre buste paga
🤳 selfie con documento d’identità in mano
🚧 Le attività di contrasto sono state attivate dal CERT-AGID e i relativi Indicatori di Compromissione (IoC) sono stati condivisi con gli enti accreditati.
ℹ️ Download IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/phishing_inps_26-09-25.json
🎯 Come nelle precedenti campagne rilevate dal CERT-AGID, gli attaccanti mirano a sottrarre dati personali agli utenti promettendo un'erogazione di denaro da parte di #INPS.
Oltre alle generalità e all'IBAN, alle vittime viene richiesto il caricamento di foto scattate ai seguenti documenti:
👨⚕️ carta d’identità (fronte e retro)
🎫 tessera sanitaria (fronte e retro)
🎟 patente di guida (fronte e retro)
📃 ultime tre buste paga
🤳 selfie con documento d’identità in mano
🚧 Le attività di contrasto sono state attivate dal CERT-AGID e i relativi Indicatori di Compromissione (IoC) sono stati condivisi con gli enti accreditati.
ℹ️ Download IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/phishing_inps_26-09-25.json
🇮🇹 Campagna di phishing ai danni di #AdE: finto avviso di rimborso
⚠️ È stata individuata una campagna di #phishing attiva ai danni dell'Agenzia delle Entrate finalizzata a carpire dati di carte di pagamento delle vittime.
🔎 I messaggi ingannevoli, che si spacciano per comunicazioni ufficiali dell’Agenzia, fanno riferimento a un presunto rimborso fiscale e rimandano a una pagina malevola dove viene richiesto alla vittima di inserire le proprie generalità e dati della propria carta di pagamento elettronica.
🚧 Azioni di contrasto intraprese dal CERT-AGID:
➡️ Il MEF è stato informato della problematica.
➡️ È stata richiesta la dismissione del dominio malevolo al Registrar.
➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/phishing_Ade_26_09_2025.json
⚠️ È stata individuata una campagna di #phishing attiva ai danni dell'Agenzia delle Entrate finalizzata a carpire dati di carte di pagamento delle vittime.
🔎 I messaggi ingannevoli, che si spacciano per comunicazioni ufficiali dell’Agenzia, fanno riferimento a un presunto rimborso fiscale e rimandano a una pagina malevola dove viene richiesto alla vittima di inserire le proprie generalità e dati della propria carta di pagamento elettronica.
🚧 Azioni di contrasto intraprese dal CERT-AGID:
➡️ Il MEF è stato informato della problematica.
➡️ È stata richiesta la dismissione del dominio malevolo al Registrar.
➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/phishing_Ade_26_09_2025.json
Sintesi riepilogativa delle campagne malevole nella settimana del 20 – 26 settembre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 94 campagne malevole, di cui 61 con obiettivi italiani e 33 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 860 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Scoperta una campagna di phishing mirata agli utenti dell’Agenzia delle Entrate volta ad acquisire dati di carte di pagamento.
➡️ Contrastata una campagna MintLoader veicolata tramite caselle PEC compromesse.
➡️ Individuata una nuova campagna malevola ai danni di utenti INPS volta a sottrarre dati personali e copie di documenti delle vittime.
💣 #IoC 860
🦠 #Malware 13 (famiglie)
🐟 #Phishing 29 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-settembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 94 campagne malevole, di cui 61 con obiettivi italiani e 33 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 860 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Scoperta una campagna di phishing mirata agli utenti dell’Agenzia delle Entrate volta ad acquisire dati di carte di pagamento.
➡️ Contrastata una campagna MintLoader veicolata tramite caselle PEC compromesse.
➡️ Individuata una nuova campagna malevola ai danni di utenti INPS volta a sottrarre dati personali e copie di documenti delle vittime.
💣 #IoC 860
🦠 #Malware 13 (famiglie)
🐟 #Phishing 29 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-settembre/
🇮🇹 Campagna di phishing #SistemaTS
⚠️ È stata individuata una campagna di #phishing che sfrutta il loghi del Sistema Tessera Sanitaria, nonché del Ministero dell'Interno e di CieID.
🔎 I messaggi ingannevoli, che si presentano come notifiche ufficiali, rimandano a una pagina che riporta i loghi dei diversi enti e servizi pubblici coinvolti. Una volta completato un finto captcha, alla vittima viene richiesto di inserire i dati della propria carta di pagamento per poter procedere.
🚧 Azioni di contrasto: gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso le organizzazioni accreditate.
💡 Raccomandazioni:
➤ verificare l'orgine dei messaggi e la correttezza dell'indirizzo mittente
➤ non inserire dati in pagine aperte da link ricevuti tramite SMS o email
➤ segnalare i messaggi sospetti a [email protected]
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/Phishing_SistemaTS_29_09_2025.json
⚠️ È stata individuata una campagna di #phishing che sfrutta il loghi del Sistema Tessera Sanitaria, nonché del Ministero dell'Interno e di CieID.
🔎 I messaggi ingannevoli, che si presentano come notifiche ufficiali, rimandano a una pagina che riporta i loghi dei diversi enti e servizi pubblici coinvolti. Una volta completato un finto captcha, alla vittima viene richiesto di inserire i dati della propria carta di pagamento per poter procedere.
🚧 Azioni di contrasto: gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso le organizzazioni accreditate.
💡 Raccomandazioni:
➤ verificare l'orgine dei messaggi e la correttezza dell'indirizzo mittente
➤ non inserire dati in pagine aperte da link ricevuti tramite SMS o email
➤ segnalare i messaggi sospetti a [email protected]
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/Phishing_SistemaTS_29_09_2025.json
🇮🇹 Phishing mirato alle #Università italiane in corso
🔎 Dettagli della campagna
Il CERT-AGID ha individuato alcune campagne di phishing, presumibilmente ad opera dello stesso attore malevolo, che abusano di #Weebly per realizzare finti form diretti al personale delle università italiane e in particolare al Politecnico e all'Università degli studi di Bari.
🎯 Obiettivo
Attraverso false comunicazione di sicurezza, che richiedono l'inserimento dei dati di login per evitare la sospensione all'account istituzionale, i criminali mirano ad impossessarsi delle credenziali di studenti e dipendenti degli atenei.
🚧 Azioni di contrasto
Il #Politecnico di Bari e #UniBa sono state prontamente informate, è stata richiesta la dismissione delle pagine malevole a Weebly e gli Indicatori di Compromissione (#IoC) sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/phishing_universita_29-09-2025.json
🔎 Dettagli della campagna
Il CERT-AGID ha individuato alcune campagne di phishing, presumibilmente ad opera dello stesso attore malevolo, che abusano di #Weebly per realizzare finti form diretti al personale delle università italiane e in particolare al Politecnico e all'Università degli studi di Bari.
🎯 Obiettivo
Attraverso false comunicazione di sicurezza, che richiedono l'inserimento dei dati di login per evitare la sospensione all'account istituzionale, i criminali mirano ad impossessarsi delle credenziali di studenti e dipendenti degli atenei.
🚧 Azioni di contrasto
Il #Politecnico di Bari e #UniBa sono state prontamente informate, è stata richiesta la dismissione delle pagine malevole a Weebly e gli Indicatori di Compromissione (#IoC) sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/09/phishing_universita_29-09-2025.json
Campagna #Formbook veicolata in Italia
⚠️ È stata osservata e analizzata dal CERT-AGID una campagna malevola scritta in lingua inglese e veicolata in Italia attraverso email che sfruttano il tema #documenti.
🔎 Le tecniche utilizzate dall'attore malevolo includono JavaScript offuscato e un'immagine steganografata che cela un eseguibile codificato in BASE64.
🎯 L’obiettivo è l’installazione di #FormBook, un infostealer ampiamente diffuso e progettato per sottrarre credenziali e dati personali.
💡 Raccomandazioni
➤ verificare l'orgine dei messaggi e l'indirizzo mittente
➤ non cliccare sui link specie se inviati da mittenti sconosciuti
➤ segnalare i messaggi sospetti a [email protected]
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/10/formbook_03-10-2025.json
⚠️ È stata osservata e analizzata dal CERT-AGID una campagna malevola scritta in lingua inglese e veicolata in Italia attraverso email che sfruttano il tema #documenti.
🔎 Le tecniche utilizzate dall'attore malevolo includono JavaScript offuscato e un'immagine steganografata che cela un eseguibile codificato in BASE64.
🎯 L’obiettivo è l’installazione di #FormBook, un infostealer ampiamente diffuso e progettato per sottrarre credenziali e dati personali.
💡 Raccomandazioni
➤ verificare l'orgine dei messaggi e l'indirizzo mittente
➤ non cliccare sui link specie se inviati da mittenti sconosciuti
➤ segnalare i messaggi sospetti a [email protected]
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/10/formbook_03-10-2025.json
Sintesi riepilogativa delle campagne malevole nella settimana del 27 settembre – 3 ottobre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 102 campagne malevole, di cui 62 con obiettivi italiani e 40 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1079 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuate alcune campagne di phishing mirate a dipendenti e studenti di vari atenei italiani.
➡️ Osservata una campagna finalizzata ad acquire dati di carte di pagamento che sfrutta i loghi di SistemaTS, Ministero dell’Interno e CieID.
➡️ Analizzata una campagna FormBook che impiega steganografia e offuscamento del codice.
💣 #IoC 1079
🦠 #Malware 13 (famiglie)
🐟 #Phishing 21 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-settembre-3-ottobre
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 102 campagne malevole, di cui 62 con obiettivi italiani e 40 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1079 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuate alcune campagne di phishing mirate a dipendenti e studenti di vari atenei italiani.
➡️ Osservata una campagna finalizzata ad acquire dati di carte di pagamento che sfrutta i loghi di SistemaTS, Ministero dell’Interno e CieID.
➡️ Analizzata una campagna FormBook che impiega steganografia e offuscamento del codice.
💣 #IoC 1079
🦠 #Malware 13 (famiglie)
🐟 #Phishing 21 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-settembre-3-ottobre
Sintesi riepilogativa delle campagne malevole nella settimana del 4 – 10 ottobre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 82 campagne malevole, di cui 61 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 875 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ È stato osservato nel corso della settimana un numero particolarmente elevato di campagne di phishing aventi come obiettivo utenti PagoPA.
💣 #IoC 875
🦠 #Malware 11 (famiglie)
🐟 #Phishing 26 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-ottobre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 82 campagne malevole, di cui 61 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 875 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ È stato osservato nel corso della settimana un numero particolarmente elevato di campagne di phishing aventi come obiettivo utenti PagoPA.
💣 #IoC 875
🦠 #Malware 11 (famiglie)
🐟 #Phishing 26 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-ottobre/
🇮🇹 Phishing sulla verifica del permesso di soggiorno prende di mira i cittadini stranieri in Italia
⚠️ Il CERT-AGID ha individuato oggi un dominio utilizzato per attività di #phishing che sfrutta l’avvio del Sistema di Ingressi/Uscite (EES), la cui piena operatività è stata avviata il 12 ottobre 2025, come riportato sul relativo sito istituzionale, e che ha lo scopo di registrare i dati personali dei cittadini di paesi extra UE e non Schengen che viaggiano in Italia per brevi periodi.
📅 Il dominio fraudolento, registrato il 13 ottobre 2025 – il giorno successivo all’avvio del sistema – riproduce una grafica ingannevole e invita l’utente a inserire il proprio cognome e numero di documento.
🛡 Attività di contrasto
➤ Segnalazione al reparto sicurezza del MAECI
➤ Richiesta dismissione dominio
➤ Diramati Indicatori di Compromissione (IoC)
ℹ️ Approfondimenti 👇
🔗 https://cert-agid.gov.it/news/phishing-sulla-verifica-del-permesso-di-soggiorno-prende-di-mira-i-cittadini-stranieri-in-italia/
⚠️ Il CERT-AGID ha individuato oggi un dominio utilizzato per attività di #phishing che sfrutta l’avvio del Sistema di Ingressi/Uscite (EES), la cui piena operatività è stata avviata il 12 ottobre 2025, come riportato sul relativo sito istituzionale, e che ha lo scopo di registrare i dati personali dei cittadini di paesi extra UE e non Schengen che viaggiano in Italia per brevi periodi.
📅 Il dominio fraudolento, registrato il 13 ottobre 2025 – il giorno successivo all’avvio del sistema – riproduce una grafica ingannevole e invita l’utente a inserire il proprio cognome e numero di documento.
🛡 Attività di contrasto
➤ Segnalazione al reparto sicurezza del MAECI
➤ Richiesta dismissione dominio
➤ Diramati Indicatori di Compromissione (IoC)
ℹ️ Approfondimenti 👇
🔗 https://cert-agid.gov.it/news/phishing-sulla-verifica-del-permesso-di-soggiorno-prende-di-mira-i-cittadini-stranieri-in-italia/
CERT-AgID
🇮🇹 Phishing sulla verifica del permesso di soggiorno prende di mira i cittadini stranieri in Italia ⚠️ Il CERT-AGID ha individuato oggi un dominio utilizzato per attività di #phishing che sfrutta l’avvio del Sistema di Ingressi/Uscite (EES), la cui piena…
🔄 Aggiornamento 15/10/2025
🔬 Questa mattina il codice della pagina è stato modificato: ora viene inviata una richiesta GET a un dominio esterno ospitato su Supabase, una piattaforma open-source che offre database, API REST, autenticazione, funzioni serverless, storage e servizi in real time.
⏩ Il fatto che esista un endpoint visibile suggerisce che i dati inseriti possono essere inviati e memorizzati su un database remoto, bypassando le validazioni locali utilizzate fino a ieri in fase di test.
💣 Indicatori di compromissione aggiornati
🔬 Questa mattina il codice della pagina è stato modificato: ora viene inviata una richiesta GET a un dominio esterno ospitato su Supabase, una piattaforma open-source che offre database, API REST, autenticazione, funzioni serverless, storage e servizi in real time.
⏩ Il fatto che esista un endpoint visibile suggerisce che i dati inseriti possono essere inviati e memorizzati su un database remoto, bypassando le validazioni locali utilizzate fino a ieri in fase di test.
💣 Indicatori di compromissione aggiornati
🇮🇹 In corso campagna di phishing #Zimbra mirata a Regione Toscana
🔎 Dettagli
Il CERT-AGID ha individuato una campagna di phishing che sfrutta #Weebly per realizzare finte pagine di login Zimbra mirate al personale di Regione Toscana e relative Aziende Sanitarie Locali.
🎯 Obiettivo
I criminali cercano di ottenere le credenziali dei dipendenti pubblici tramite comunicazioni fraudolente che simulano notifiche di sicurezza, facendo credere che sia necessario inserire i dati di accesso per evitare la sospensione dell'account istituzionale.
🚧 Azioni di contrasto
Gli enti potenzialmente impattati sono stati informati, è stata richiesta la dismissione delle pagine malevole a Weebly e gli Indicatori di Compromissione (#IoC) sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/10/phishing_regionetoscana_16-10-2025.json
🔎 Dettagli
Il CERT-AGID ha individuato una campagna di phishing che sfrutta #Weebly per realizzare finte pagine di login Zimbra mirate al personale di Regione Toscana e relative Aziende Sanitarie Locali.
🎯 Obiettivo
I criminali cercano di ottenere le credenziali dei dipendenti pubblici tramite comunicazioni fraudolente che simulano notifiche di sicurezza, facendo credere che sia necessario inserire i dati di accesso per evitare la sospensione dell'account istituzionale.
🚧 Azioni di contrasto
Gli enti potenzialmente impattati sono stati informati, è stata richiesta la dismissione delle pagine malevole a Weebly e gli Indicatori di Compromissione (#IoC) sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/10/phishing_regionetoscana_16-10-2025.json
🇮🇹 Phishing contro PagoPA abusa di open redirect Google
⚠️ Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di #PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittimi di Google per rendere i messaggi più credibili e aggirare i controlli automatici.
⚔️ Un approccio non nuovo: un caso analogo era già stato documentato nel 2023.
⛓️ La catena di compromissione procede con i seguenti passaggi
➤ Open redirect Google:
➤ Pagina intermedia su:
➤ Pagina finale di phsihing su:
📈 Dati sul phishing PagoPA
➤ 220 campagne rilevate
➤ 2.574 IoC condivisi con le PA
ℹ️ Maggiori dettagli 👇
🔗 https://cert-agid.gov.it/news/phishing-contro-pagopa-abusa-di-open-redirect-google/
⚠️ Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di #PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittimi di Google per rendere i messaggi più credibili e aggirare i controlli automatici.
⚔️ Un approccio non nuovo: un caso analogo era già stato documentato nel 2023.
⛓️ La catena di compromissione procede con i seguenti passaggi
➤ Open redirect Google:
adservice.google.be➤ Pagina intermedia su:
bio.site o linktr.ee➤ Pagina finale di phsihing su:
privatedns.org📈 Dati sul phishing PagoPA
➤ 220 campagne rilevate
➤ 2.574 IoC condivisi con le PA
ℹ️ Maggiori dettagli 👇
🔗 https://cert-agid.gov.it/news/phishing-contro-pagopa-abusa-di-open-redirect-google/
Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 17 ottobre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 92 campagne malevole, di cui 51 con obiettivi italiani e 41 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 774 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevata una campagna di phishing che sfrutta il nome del MAECI per sottrarre dati relativi a permessi di soggiorno di cittadini stranieri.
➡️ Individuata una campagna di phishing Zimbra mirata al personale di Regione Toscana e relative ASL.
➡️ Analizzata una campagna di phishing PagoPA che abusa di open redirect Google.
💣 #IoC 774
🦠 #Malware 12 (famiglie)
🐟 #Phishing 23 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-ottobre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 92 campagne malevole, di cui 51 con obiettivi italiani e 41 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 774 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevata una campagna di phishing che sfrutta il nome del MAECI per sottrarre dati relativi a permessi di soggiorno di cittadini stranieri.
➡️ Individuata una campagna di phishing Zimbra mirata al personale di Regione Toscana e relative ASL.
➡️ Analizzata una campagna di phishing PagoPA che abusa di open redirect Google.
💣 #IoC 774
🦠 #Malware 12 (famiglie)
🐟 #Phishing 23 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-ottobre/
CERT-AgID
🔄 Aggiornamento 15/10/2025 🔬 Questa mattina il codice della pagina è stato modificato: ora viene inviata una richiesta GET a un dominio esterno ospitato su Supabase, una piattaforma open-source che offre database, API REST, autenticazione, funzioni serverless…
🚫 Il dominio è stato dismesso!
Dalle 04:50 di oggi il team Abuse di Hostinger lo ha disattivato; attualmente non è più raggiungibile.
Dalle 04:50 di oggi il team Abuse di Hostinger lo ha disattivato; attualmente non è più raggiungibile.
Sintesi riepilogativa delle campagne malevole nella settimana del 18 – 24 ottobre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 101 campagne malevole, di cui 54 con obiettivi italiani e 47 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1068 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Contrastata una nuova campagna malware MintLoader mirata a utenti italiani e diffusa tramite caselle PEC compromesse.
➡️ Rilevata una campagna di phishing che sfrutta il nome del Fascicolo Sanitario Elettronico. Tramite il pretesto di un presunto rimborso, l'utente è guidato su un sito malevolo dove è indotto a fornire dati personali e bancari.
💣 #IoC 1068
🦠 #Malware 14 (famiglie)
🐟 #Phishing 26 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-ottobre
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 101 campagne malevole, di cui 54 con obiettivi italiani e 47 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1068 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Contrastata una nuova campagna malware MintLoader mirata a utenti italiani e diffusa tramite caselle PEC compromesse.
➡️ Rilevata una campagna di phishing che sfrutta il nome del Fascicolo Sanitario Elettronico. Tramite il pretesto di un presunto rimborso, l'utente è guidato su un sito malevolo dove è indotto a fornire dati personali e bancari.
💣 #IoC 1068
🦠 #Malware 14 (famiglie)
🐟 #Phishing 26 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-ottobre