Il CERT-AgID, insieme ai Gestori PEC interessati, ha contrastato una nuova campagna malware massiva, veicolata tramite PEC, che sembra essere simile a quelle già osservate per sLoad, ma che in realtà veicola Vidar, un malware as a Service recente (Q4 2022) appartenente alla famiglia degli infostealer.

L’attacco è iniziato alle ore 00:02 del 05-07-2023 e terminato due ore dopo sfruttando una serie di PEC precedentemente compromesse per inviare comunicazioni verso altre PEC invitando i destinatari a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura.

Il file scaricato è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs che, oltre a sfruttare bitsadmin, come già osservato per sLoad, utilizza anche certutil per scaricare un eseguibile (Vidar) da un server remoto.

Per tenere traccia del numero di macchine compromesse, lo script invia una richiesta HTTP verso un ulteriore server remoto fornendo l’indirizzo IP e il nome macchina della vittima.

Al fine di occultare le richieste (facendole passare per lecite) e ottenere informazioni sugli IP da contattare, Vidar effettua connessioni lecite ad un profilo utente Steam e ad un canale Telegram da cui recupera gli indirizzi dei server con cui stabilire una comunicazione.

Gli autori della campagna hanno utilizzato come vettore di infezione un pacchetto di installazione InnoSetup con all’interno una distribuzione Python 3.11 originale ma con una DLL modificata (python311.dll) per eseguire uno shellcode. Per via delle dipendenze necessarie dell’eseguibile e della DLL host, il malware non può avviare l’infezione su macchine Windows 7 e precedenti.

Il malware Vidar, una volta preso il controllo di un sistema, provvede ad acquisire informazioni da:

  • Browser più diffusi: password, cookie, auto completamento e cronologia;
  • Portafogli digitali;
  • Dati relativi alle carte di credito;
  • Autorizzazione Telegram;
  • Credenziali di accesso FTP, WINSCP, MAIL.

Gli sviluppatori di Vidar hanno messo a disposizione un canale Telegram in lingua russa, al momento seguito da oltre 3000 utenti, per fornire il supporto e rilasciare aggiornamenti sulle nuove versioni. Inoltre, vanta un’infrastruttura di C2 solida e a prova di DDoS.

Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC e gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.

Il CERT-AgID invita a prestare sempre attenzione a questo genere di comunicazioni e, nel dubbio, consiglia di inoltrare l’email a malware@cert-agid.gov.it.

 

https://cert-agid.gov.it/news/malware-pec-dopo-sload-e-la-volta-di-vidar/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE