Grazie ad un nuovo approfondimento di CERT-AgID sulle minacce che incombono sull’Italia per opera degli hacker, vediamo oggi un po’ più da vicino come funziona una campagna malevola che sfrutta WsgiDAV, ovvero un sistema opensource molto utilizzato online per la condivisione di file o intere cartelle sul web. L’agenzia prende come spunto una mail malevola con l’obiettivo di phishing che è stata segnalata negli ultimi giorni di febbraio, nella quale però già a partire dall’oggetto iniziavano i primi sospetti, visto che si chiede di “informare” i “servicii” online dell’Agenzia che in Italia cura l’amministrazione dei beni confiscati alle mafie.
Ovviamente il perno sul quale i criminali si vogliono appoggiare è quello di un errore nelle dichiarazioni per l’anno 2025, che va per forza ed urgentemente sanato facendo clic su un link presente nella email. A differenza dell’oggetto, il messaggio è scritto in un italiano già più corretto, ma che tuttavia presenta qualche errore, come “administrazione” al posto di “amministrazione”. Se si vuole aggiungere anche una nota un po’ più pignola, anche l’indirizzo presente in fondo al messaggio non sarebbe quello di ANBSC, bensì quello dell’Agenzia delle Entrate, ma questa informazione, non essendo nota a tutti, può non essere neanche notata e portare comunque a cadere nella trappola. L’analisi fatta da AgID spiega che chi inoltra la mail ha probabilmente violato un dominio .es di proprietà di una università, aggiungendo poi che aprendo il link si arriva fino allo scaricamento di una cartella compressa che al suo interno ha un collegamento web.
Il collegamento porta poi ad una cartella condivisa, basata sul sistema WebDAV, che il sistema tratta come un device esterno alla stregua di una chiavetta USB, ma senza entrare nei particolari, per i quali rimandiamo all’analisi tecnica di CERT-AgID, arriviamo alla visualizzazione di un file PDF in spagnolo. Facendo clic sul documento si visualizza un contenuto del tutto fittizio ma nel mentre si dà anche il “la” ad uno script, che però non scarica direttamente il malware, ma non fa che contattare un secondo server che a sua volta effettua il download di un altro piccolo pezzo del malware. Questo secondo pezzo di codice, poi, opera sulle protezioni del device sul quale viene installato e lo prepara per l’attacco definitivo scaricando il malware vero e proprio, ma non viene specificato di che tipo di virus si tratta, tuttavia molto spesso si tratta di strumenti per il furto di dati e password oppure trojan persistenti.
Questo modo di sferrare le offensive viene chiamato “multi-stage” poiché non si passa ad un attacco di tipo diretto, ma si suddivide l’attacco in varie parti, per cercare di rimanere sempre al di sotto dei radar, visto e considerato che vengono anche utilizzati alcuni strumenti considerati più che leciti, come WsgiDAV, per la condivisione dei file. Ovviamente in queste tecniche le piattaforme coinvolte non sono assolutamente parte in causa e non concorrono in alcuna maniera al furto, ma essendo strumenti liberi che si possono trovare sul web è normale che vengano presi in prestito da criminali informatici. Questa specifica truffa tuttavia non è tra quelle con più potenziale tra quelle che abbiamo visto nelle scorse settimane, questo perché nonostante contenga tutti i crismi di quelle che vediamo di solito, contiene anche un numero maggiore di refusi ed errori piuttosto banali.
Chiaramente, i consigli da seguire di fronte a questi attacchi sono quelli di fidarsi poco o per nulla di email sospette che riceviamo da mittenti sconosciuti o insoliti, così come di link con estensioni particolari (ad esempio .lnk, .vbs, .js o .url). Un altro consiglio, per coloro che si intendono maggiormente delle vicende legate alla cybersecurity, è quello di leggere attentamente il report e l’analisi fatte da CERT-AgID al link che si può trovare nelle fonti di questo articolo. Ciò che è interessante, in questo breve approfondimento, è piuttosto la tecnica del multi-stage che viene utilizzata, poiché meno comune di ciò che si creda.
Fonte: 1
