Abbiamo visto a più riprese gli attacchi che da diversi mesi stanno bersagliando gli utenti italiani di caselle di posta certificata con messaggi contenenti allegati malevoli, capaci poi di violare a loro volta le caselle. Di per sé, oramai, questo vettore d’attacco non ci desta neanche più sorpresa, poiché abbiamo capito come ogni tipo di campagna possa essere possibile e non c’è mai stata la ragione di pensare che le PEC fossero esenti da queste possibilità.
Tornando un po’ indietro, abbiamo visto come queste campagne, che ormai fanno compagnia agli utenti italiani da ormai tantissimo tempo, prima per veicolare un malware chiamato Vidar ed ora per veicolare MintsLoader, ma questo è solo un dettaglio per capire che comunque la minaccia è ancora attiva e verosimilmente viene distribuita sempre dalle stesse persone, vediamo perché. Facendo un piccolo sforzo di memoria ci ricorderemo che la particolarità degli attacchi via PEC, raccontati puntualmente settimana per settimana da CERT-AgID, era la tempistica utilizzata per far sì che i bersagli cadessero nella trappola. Seguendo questa strategia, il lunedì mattina le potenziali vittime avrebbero trovato una montagna di messaggi PEC accumulati nei giorni di chiusura ed avrebbero potuto aprire anche il link al quale si fa riferimento per il download di una fattura di qualche centinaio d’Euro ancora da pagare. Questa scelta, usata in modo strategico e ponderato, può aver fatto mietere qualche vittima agli hacker, ma come ricorderemo è anche mutata nel tempo e non accenna a smettere, visto che in questo aggiornamento vediamo un cambio dell’azione d’attacco proprio a scopo strategico.
Nei primi giorni di giugno è stata rilevata infatti una nuova campagna, che come abbiamo detto puntava alla diffusione di MintsLoader ma, invece che farla partire il lunedì come al solito si è deciso di aspettare. Perché? Il motivo è nel calendario lavorativo, visto che il 2 giugno 2025 sarebbe caduto di lunedì e gli uffici sarebbero stati chiusi, pertanto si è atteso addirittura il mercoledì mattina per l’inizio della campagna, tentando così di aumentare le possibilità di andare a segno. CERT-AgID, per far capire la strategia che gli hacker stanno utilizzando, ha schematizzato le campagne via PEC rilevate nel solo 2025. A partire da gennaio, quando i messaggi sono stati inoltrati il 7 gennaio, ovvero di martedì, a causa dell’epifania, si è agito poi sempre il lunedì per quattro volte, fino ad arrivare al 25 marzo, un martedì, del quale abbiamo anche parlato in un approfondimento di questo blog. Successivamente, nei primi giorni dei mesi di aprile e maggio si è sempre provato a fare breccia facendo iniziare le offensive il lunedì fino ad arrivare al 4 giugno, del quale abbiamo già parlato. In generale, quindi, vengono sfruttate le festività degli uffici, i giorni di chiusura o comunque le pause più prolungate.
Se malauguratamente, ma ormai pensiamo che almeno i nostri lettori l’abbiano capito, si facesse clic sul link per scaricare la finta fattura ci si imbatterebbe in MintsLoader, uno strumento utilizzato dagli hacker per caricare a sua volta una serie di malware mirati al furto di informazioni. La cosa più fastidiosa è che, piano piano, gli attaccanti stanno utilizzando tattiche e tecnologie sempre più raffinati per evadere i controlli, riuscendoci in modo sempre più semplice, quindi anche i sistemi di analisi non riescono ad intercettare i messaggi PEC provenienti da caselle già violate. Per porre argine, come al solito, CERT-AgID sta collaborando coi certificatori delle caselle interessate nello spargimento di questi malware, mentre agli utenti delle caselle ribadiamo un’altra volta con grande forza che qualora trovassero link strani nei messaggi non sono tenuti a fare clic e, in caso di sospetti, possono inoltrare il messaggio, senza neanche aprirlo, alla casella messa a disposizione da CERT-AgID (si può trovare al link nelle fonti). Ovviamente ci piacerebbe anche dire che con questo aggiornamento si chiuderanno tutte le novità e che il problema è stato debellato, ma sappiamo già con certezza che questo non è possibile, quindi rimandiamo alle prossime novità su questa e su tutte le altre campagne via PEC che verranno segnalate.
Fonte: 1
