Descrizione
CSIRT Umbria, nell’esercizio delle sue funzioni, è venuto a conoscenza di una campagna di phishing, a tema CERT-UA, che ha l’obiettivo di distribuire AGEWHEEZE.
Ecco i dettagli principali dell'operazione:
- Descrizione dell'attacco: Tra il 26 e il 27 marzo 2026, è stata rilevata una campagna di phishing condotta dal cluster UAC-0255. Gli attaccanti hanno inviato e-mail fraudolente spacciandosi per il CERT-UA, invitando le vittime a scaricare un presunto "software specializzato" da un archivio protetto da password su Files.fm.
- Malware distribuito: Il software malevolo è un RAT (Remote Access Trojan) scritto in Go, denominato AGEWHEEZE.
- Obiettivi (Targeting): La campagna ha colpito un'ampia gamma di settori, tra cui organizzazioni statali, centri medici, aziende di sicurezza, istituti scolastici, istituzioni finanziarie e software house.
- Infrastruttura e Rivendicazione:
- È stato creato il dominio clone cert-ua[.]tech per distribuire il payload.
- L'attacco è stato rivendicato esplicitamente il 28 marzo 2026 sul canale Telegram "CyberSerp_Official".
- Il server di comando e controllo (C2) è ospitato su infrastruttura OVH e utilizza comunicazioni via WebSocket.
- Capacità del Malware: AGEWHEEZE permette il controllo remoto completo, inclusi l'acquisizione dello schermo, l'emulazione di mouse/tastiera, la gestione di file e processi, l'esecuzione di comandi e l'accesso al clipboard.
- Persistenza: Il malware garantisce la propria permanenza nel sistema tramite il registro di sistema, la directory Startup o task schedulati denominati "SvcHelper" o "CoreService".
Indicazioni di Sicurezza: si consiglia cautela con le email sospette e si raccomanda di limitare la divulgazione di queste informazioni esclusivamente alla Constituency di codesto CSIRT.
