Il malware Vidar ha ripreso a colpire le caselle di posta elettronica italiane, impiegando nuove tattiche e utilizzando come sorgente di attacco caselle PEC compromesse. L’obiettivo è sottrarre informazioni sensibili e credenziali.
In questa nuova campagna gli attaccanti hanno ripristinato l’uso di file VBS dai quali viene eseguito uno script PS1, e utilizzato oltre 100 domini distinti dai quali sono stati generati randomicamente un totale di quasi un migliaio di sottodomini per il download del file VBS.
Un aspetto significativo è che le URL per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi poi a partire dalla mattina del 18 novembre, suggerendo una pianificazione strategica degli aggressori che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.
La strategia di lanciare una nuova campagna ogni domenica sembra essere ormai una tattica consolidata, probabilmente per colpire le vittime all’inizio della settimana lavorativa, quando sono più propensi a fidarsi delle nuove comunicazioni ricevute. Le PEC compromesse vengono utilizzate come veicolo per ingannare i destinatari, facendoli ritenere i messaggi legittimi e affidabili.
Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.
Il CERT-AGID raccomanda di prestare la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it
