A distanza di un giorno, il CERT-AGiD ha emesso un nuovo avviso riguardante una nuova ondata di malspam che sfrutta le caselle di Posta Elettronica Certificata (PEC) per diffondere codice malevolo in Italia. Inizialmente, il link utilizzato faceva riferimento al dominio italiano (Excite) che, però, non veicolava alcun malware. Adesso, gli attaccanti hanno modificato la loro strategia, riproponendo gli stessi contenuti ma utilizzando un nuovo dominio attivo che rilascia un file JavaScript che installa il malware Vidar.
Questa rappresenta la quarta ondata di attacchi malspam registrata nel 2024 dal CERT-AgID, tutte distribuite da agosto a oggi. I cybercriminali sembrano puntare con sempre maggiore frequenza sulle PEC, complice il fatto che queste caselle, per il loro valore legale e la fiducia che ispirano, rappresentano un target particolarmente appetibile.
Perché attaccare le PEC?
L’attrattiva delle caselle PEC per i cybercriminali non è difficile da comprendere: compromettendole, possono ottenere accesso a informazioni sensibili e inviare comunicazioni fraudolente che appaiono assolutamente genuine. La PEC, infatti, gode di una reputazione di sicurezza che la rende particolarmente vulnerabile agli attacchi: molti utenti la considerano immune da compromissioni, aumentando così la probabilità di successo per chi cerca di sfruttarla per la diffusione di malware.
Azioni di contrasto
Le attività di contrasto sono state già messe in atto: il CERT-AgID, in collaborazione con i Gestori PEC, ha diramato gli Indicatori di Compromissione (IoC) legati alla campagna attraverso il proprio Feed IoC. Gli utenti sono invitati a prestare massima attenzione ai messaggi PEC ricevuti, specialmente quelli contenenti link sospetti. In caso di dubbi, è sempre possibile inoltrare le email sospette all’indirizzo malware@cert-agid.gov.it.
