A distanza di poche settimane, è stata rilevata la terza campagna malevola nel giro di un mese mirata a diffondere il malware Vidar tramite email PEC compromesse e inviate ad altri indirizzi PEC.
Vidar è un Malware-as-a-Service appartenente alla famiglia degli infostealer in grado, una volta penetrato in un sistema, di sottrarre diverse tipologie di dati inclusi password, cookie, cronologia di navigazione, dati relativi alle carte di credito, dati di autenticazione Telegram, credenziali di accesso per FTP, WINSCP, MAIL.
L’ondata di malspam tramite PEC rilevata il 21 agosto scorso riprendeva lo schema della campagna precedente, con email che contenevano un link per scaricare un file JavaScript malevolo. L’operazione di download avveniva solo dopo che il backend verificava che la richiesta provenisse da un client Windows.
L’attuale nuova ondata di attacchi si caratterizza per l’invio di email ingannevoli che sollecitano il pagamento di una presunta fattura non saldata, minacciando azioni legali in caso di mancato pagamento. Le email invitano i destinatari a visualizzare una nota tramite un link, che in realtà avvia il download di un file JavaScript dannoso, il quale dà il via a una catena di download di ulteriori script malevoli, come già osservato nelle campagne precedenti.
Per contrastare questa minaccia, con il supporto dei Gestori PEC sono stati bloccati oltre 12.000 indirizzi coinvolti nell’invio delle email malevole. Gli Indicatori di Compromissione (IoC) relativi alla campagna sono stati distribuiti tramite il Feed IoC del CERT-AgID ai Gestori PEC e alle strutture accreditate.
Il CERT AgID raccomanda di prestare la massina attenzione alle comunicazioni ricevute via PEC, soprattutto se contengono link sospetti. In caso di dubbi, le email sospette possono essere inoltrate per verifica alla casella di posta malware@cert-agid.gov.it.
https://cert-agid.gov.it/news/vidar-insiste-in-italia-con-campagne-via-pec/