Una nuova campagna di diffusione del malware Vidar sta colpendo l’Italia sfruttando account PEC compromessi. Il CERT-AGID ha recentemente individuato e mitigato, con la collaborazione dei Gestori PEC, una serie di email di malspam mirate a diffondere il malware.
L’email, apparentemente proveniente da un’azienda italiana, simula comunicazioni legate a un presunto mancato pagamento di una fattura, invitando l’utente a cliccare su un link etichettato come “Fattura”. Qualora cliccato, questo collegamento attiva il download di un file VBS malevolo, che innesca una catena di compromissione del sistema.
Il file VBS scaricato contiene una lunga stringa codificata in base64 che permette l’esecuzione di uno script PowerShell. Questo script si connette al noto dominio .top per stabilire il canale di comunicazione con i server di controllo, utilizzando il parametro “mints1″” per le comunicazioni successive con altri repository.
Grazie al supporto dei Gestori PEC, sono state attuate misure di contrasto per limitare la diffusione della minaccia. Gli indicatori di compromissione (IoC) rilevati sono stati condivisi attraverso il Feed IoC del CERT-AGID, disponibile per i Gestori PEC e le strutture accreditate.
Si raccomanda agli utenti di prestare massima attenzione ai messaggi PEC contenenti link sospetti e, in caso di dubbi, di inoltrare le email alla casella malware@cert-agid.gov.it per ulteriori verifiche. Per ulteriori dettagli sugli IoC rilevati, è possibile consultare il sito ufficiale del CERT-AGID.
https://cert-agid.gov.it/news/vidar-torna-a-colpire-in-italia-attraverso-pec-compromesse/