Nonostante la stagione, non si placano le minacce che prendono di mira gli utenti italiani in generale ma soprattutto le Pubbliche Amministrazioni, che come visto nei recenti approfondimenti con i dati di ACN sono tra i soggetti più bersagliati dagli hacker. Probabilmente queste offensive sfruttano anche le varie assenze dovute alle vacanze estive che portano a delegare diverse attività tra le quali, magari, anche quelle tecniche.
È proprio su materie più tecnico-amministrative che è basata una nuova offensiva notata da varie Pubbliche Amministrazioni del nostro paese e segnalata al CERT-AgID, poiché una serie di email di alert ricevute ha fatto scattare un campanello d’allarme. Nei giorni scorsi, infatti, sono state ricevute diverse notifiche via email che segnalavano la scadenza dei certificati di firma digitale di un non meglio precisato fornitore (censurato da CERT-AgID), nelle quali si intimava con grande urgenza di effettuare un aggiornamento entro il giorno 22 agosto. Nel messaggio viene espressamente detto di chiudere qualsiasi programma di firma aperto in quel momento, scaricare la patch usando il collegamento ipertestuale presente nella mail e poi installare il tutto precisando anche di utilizzare la rete aziendale o la VPN.
Facendo clic sul collegamento ipertestuale si scaricava così un file in formato ZIP, che contiene un comando VBS malevolo che avrebbe portato poi ad installare un software chiamato Action1 che, di fatto, sarebbe innocuo e legittimo ma che permette di gestire da remoto gli aggiornamenti, che furbescamente verrebbe in questo caso utilizzato dagli hacker per avere accesso alle reti ed ai dispositivi messi nel mirino. Dalle analisi di CERT-AgID sembra che il codice del comando VBS coinvolto sia stato prodotto in italiano, forse sfruttando l’Intelligenza Artificiale da qualche nostro connazionale oppure, strategicamente, per cercare di fare pensare a questa soluzione.
La particolarità di questa minaccia proviene dal fatto che è inedita, ovvero non è mai stata notata alcuna minaccia sviluppata in questa maniera, ma che in passato era stata usata all’estero per la diffusione del noto ransomware del gruppo Conti. Sempre altri casi simili raccontano di hacker che fanno scaricare altri strumenti legittimi per avere poi accesso remoto e prendere possesso di ciò che hanno messo nel mirino. Nel caso in esempio, CERT-AgID non ha ancora capito quale sia il virus che si sta cercando di diffondere ma è anche possibile che i malintenzionati stiano giocando d’attesa e non l’abbiano rilasciato. Dal canto suo, AgID ha diffuso la notizia al produttore del software di firma, che ripetiamo è stato anonimizzato, inviando anche un alert, principalmente alle PA, dicendo che coloro che ricevono questa email devono evitare di effettuare qualsiasi attività come clic e simili. Inoltre devono essere usati i vari tool messi a disposizione per effettuare le verifiche necessarie, che se dovessero dare esito positivo darebbero anche l’obbligo per la vittima di segnalare l’incidente a CSIRT.
Fonte: 1
