Agli inizi di dicembre avevamo raccontato qualche dettaglio dell’ennesima truffa mirata alle Pubbliche Amministrazioni che sfruttava un portale chiamato Figma, utilizzato per creare interfacce grafiche direttamente dal proprio browser, col quale venivano create false pagine di atterraggio. Ovviamente il tutto era partito da email malevole provenienti, purtroppo, da account di altre PA già violati, quindi i messaggi potevano addirittura apparire come legittimi. Nel caso di dicembre avevamo assistito all’invio di allegati in PDF in alcune email scritte però in inglese, così come il testo che si trovava una volta effettuato l’accesso al documento stesso, una cosa che di per sé poteva già giustificare l’eliminazione dei messaggi, mentre stavolta l’offensiva ha altre caratteristiche.
Innanzitutto, la notizia della nuova campagna è stata data come sempre da CERT-AgID, che racconta come si tratti sempre di messaggi inviati da caselle appartenenti a membri delle Pubbliche Amministrazioni che sono già state violate in precedenza, forse con uno stratagemma di questo genere, ma inoltrati stavolta a destinatari con i quali la casella aveva già avuto scambi di email lavorative. Già questo fattore fa capire come si stia tentando di perfezionare questa campagna di phishing che mira a prendere il controllo di altri account simili, ma stavolta non vengono inseriti nel campo “A” delle email, quanto piuttosto messe in copia nascosta (CCN). Il messaggio malevolo viene quindi inviato alla stessa casella che l’ha inoltrato, di modo da poter fare un inoltro collettivo e diffondere prima le email. All’interno troviamo un’altra volta un file in formato PDF che dovrebbe contenere informazioni amministrative su pagamenti o proposte di prodotti, dentro al quale si trova l’indicazione di sbloccare parte del documento facendo un clic. Dopo aver cliccato si atterra su una pagina creata palesemente col portale Figma (si vede dalla barra dell’URL) che contiene il logo della PA alla quale è stata violata la casella che ci ha inviato il messaggio.
Oltre a questo, su una pagina che lì per lì può anche sembrare legittima, anche se basterebbe vedere i font e la scrittura in inglese per capire che non lo è, troviamo un ulteriore link e dei contenuti scritti in inglese che invitano a fare clic per, testualmente, scaricare un file PDF completo. A corredo del messaggio troviamo, come anticipato, il logo dell’ente al quale è stato rubato l’accesso alla casella email dalla quale proviene il messaggio, dei finti loghi dei servizi Microsoft 365, alcuni seriali riguardanti il documento ed una riga di testo che dice che il PDF è stato scansionato e non contiene virus, ovviamente tutto fasullo. Facendo clic ci si ritrova infatti di fronte ad una finta maschera di login dei servizi Microsoft, questa costruita in modo un po’ più preciso, che però poggia su un dominio del tutto diverso dall’originale come logindocumentsfile[.]spiritualraindrops[.]de, ma è possibile che sia solo uno di molti dei domini utilizzati.
È qui che quindi si scopre il vero obiettivo di questa campagna, vale a dire il furto delle credenziali di 365 agli enti pubblici, un servizio che dà accesso come sappiamo ad una suite molto ampia che può essere ovviamente sfruttata per rubare dati e informazioni così come per portare avanti questa catena di invii di email e continuare a rubare così accessi e caselle. Certo, il fatto che tutti i messaggi e le pagine d’appoggio siano in inglese funziona sicuramente come un deterrente, questo perché già è difficile che un comune, ad esempio, riceva una mail da un altro ente pubblico italiano scritta però in una lingua straniera e che riporta a pagine non italiane. È tuttavia sempre possibile che qualcuno sia caduto in trappola, visto anche che questa truffa effettuata tramite la piattaforma Figma si è riaffacciata e probabilmente si basa proprio sull’invio di email da account rubati alle PA con altre campagne. È chiaro che CERT-AgID dà anche alcuni consigli per evitare qualsiasi problema e spiega di essersi messo in moto in due direzioni, la prima è quella di avvisare tutti gli enti coinvolti in base alle segnalazioni che hanno ricevuto, oltre ovviamente alla distribuzione degli indicatori di compromissione alle suddette Pubbliche Amministrazioni.
Fonte: 1
