Malware su phishing INPS per indennità Covid-19

Malware su phishing INPS per indennità Covid-19

Dal 25 maggio 2020 è stato registrato il dominio www.inps-it.top al fine di diffondere un malware per sistemi Android sfruttando l’onda delle indennità Covid realmente regolamentate sul sito ufficiale di INPS.

Abbiamo fatto alcuni controlli che vogliamo condividere qui con i lettori, in quanto tale sito è ancora attivo e funzionante, in attesa che le autorità facciano le dovute indagini e conseguenti sospensioni. Ricordiamo che dal 29 maggio 2020 Cert-AgID è stata informata dell’accaduto.

Ecco l’estratto dei dettagli di registrazione del dominio:

{
    "status": 1,
    "domain_name": "inps-it.top",
    "query_time": "2020-06-03 05:46:14",
    "whois_server": "whois.nic.top",
    "domain_registered": "yes",
    "create_date": "2020-05-25",
    "update_date": "2020-05-25",
    "expiry_date": "2021-05-25",
    "domain_registrar": {
        "iana_id": 1868,
        "registrar_name": "Eranet International Limited",
        "whois_server": "whois.eranet.com",
        "website_url": "http://www.eranet.com",
        "email_address": "info@todaynic.com",
        "phone_number": "+852.7563810566"
    },
    "registrant_contact": {
        "full_name": "REDACTED FOR PRIVACY",
        "company_name": "Tye Dye Eye",
        "mailing_address": "REDACTED FOR PRIVACY",
        "city_name": "REDACTED FOR PRIVACY",
        "state_name": "DK",
        "zip_code": "REDACTED FOR PRIVACY",
        "country_name": "United States",
        "country_code": "US",
        "email_address": "hipleaseleavemealone@gmail.com",
        "phone_number": "REDACTED FOR PRIVACY",
        "fax_number": "+1.13152265160"
    },
    "administrative_contact": {
        "full_name": "REDACTED FOR PRIVACY",
        "company_name": "Tye Dye Eye",
        "mailing_address": "REDACTED FOR PRIVACY",
        "city_name": "REDACTED FOR PRIVACY",
        "state_name": "REDACTED FOR PRIVACY",
        "zip_code": "REDACTED FOR PRIVACY",
        "country_name": "REDACTED FOR PRIVACY",
        "email_address": "hipleaseleavemealone@gmail.com",
        "phone_number": "REDACTED FOR PRIVACY",
        "fax_number": "+1.13152265160"
    },
    "technical_contact": {
        "full_name": "REDACTED FOR PRIVACY",
        "company_name": "Tye Dye Eye",
        "mailing_address": "REDACTED FOR PRIVACY",
        "city_name": "REDACTED FOR PRIVACY",
        "state_name": "REDACTED FOR PRIVACY",
        "zip_code": "REDACTED FOR PRIVACY",
        "country_name": "REDACTED FOR PRIVACY",
        "email_address": "hipleaseleavemealone@gmail.com",
        "phone_number": "REDACTED FOR PRIVACY",
        "fax_number": "+1.13152265160"
    },
    "name_servers": [
        "a.dnspod.com",
        "c.dnspod.com"
    ],
    "domain_status": [
        "clientTransferProhibited"
    ]}

Il sito che viene ospitato in questo dominio ha le sembianze del sito Inps ufficiale, sia in versione desktop che visualizzato da mobile. Ha anche lo stesso responsive html a seconda del device che lo visita.

Come si vede da queste schermate, si invita il visitatore alla richiesta dell’indennità Covid-19, tramite il download di un modulo di richiesta, che in realtà è una app per Android, malevola.

La app, richiesta come un aggiornamento di Acrobat Reader, nominata acrobatreader.apk, una volta installata stabilisce una connessione HTTP con un sito che recupera richieste GET dal dispositivo infettato, tracciando dati di interesse degli utenti: sopratutto bancari e di autenticazione dalle app presenti sul device della vittima.

Ecco l’estratto rilasciato da Cert-AgId dell’analisi dell’app malevola, ancora in funzione: 

3e48bb31ab93ddf136a1212d49566de2
4fd90de7e8709390cf9c3e51bac0964323cdca9f
8790d9ffb67ce0d2e48b71aa152bbf4ae12fba0cc9fa7a57473c233117743e01
http://8.209.98.246/gate.php
http://greedyduck.top/gate.php
http://inps-it.top/
inps-it.top
greedyduck.top
8.209.98.246

Posted on