Solo poche settimane fa avevamo riparlato per l’ennesima volta di una minaccia che sta prendendo di mira le caselle PEC degli utenti italiani utilizzando messaggi con contenuti malevoli inviati da altre caselle di posta certificata già violate in precedenza con altre campagne. Il malware che gli hacker stanno tentando da mesi di diffondere si chiama Vidar, ed i tecnici di CERT-AGID, coi loro approfondimenti, stanno tentando di porre un freno ed informare più utenti possibile sui rischi che si corrono con queste campagne, che ricordiamo vengono fatte partire in modo “tattico” in taluni giorni della settimana per far cercare di far cadere più facilmente in trappola le potenziali vittime.
L’ultimo aggiornamento su Vidar è arrivato pochi giorni fa, nello specifico il 2 febbraio, quando è stata notata una nuova campagna in orario notturno con tecniche di offuscamento sofisticate ed utilizzando algoritmi di generazione di domini riuscendo a creare di fatto gli indirizzi malevoli dai quali far partire i messaggi. I domini utilizzati in questa campagna sono 136, spiega CERT-AGID, raccontando che gli URL coi quali si è tentato di fare partire il payload dell’attacco sono rimasti down per evitare i blocchi e si sono attivati solo diverse ore dopo. Quello che è cambiato, diventando ancora più sofisticato, è il metodo di offuscamento, poiché il malware muta in modo più particolare rispetto al passato per evitare le analisi che poi portano all’effettivo rilevamento.
Rispetto al passato, poi, c’è anche un’altra novità, ovvero il cambiamento costante del payload scaricato quando inizia la catena d’infezione, perché in questa campagna Vidar fa scaricare ogni volta un malware proveniente da altre “famiglie”. Come specificato, queste campagne partono tutte da caselle di posta certificata già violate in precedenza e CERT-AGID, di concerto con i gestori delle PEC, ha già messo in atto una campagna di collaborazione. Il messaggio che viene ricevuto questa volta dagli utenti riguarda come al solito un pagamento non effettuato dopo la stipula di un contratto non meglio specificato, con la minaccia di recedere se entro cinque giorni non si scarica la fattura da un link presente nel testo e non si effettua il pagamento. Ovviamente facendo clic sul link si finisce in un portale malevolo che porta alla catena di infezione ben spiegata da CERT-AGID.
Come vediamo e come scopriamo in un numero sempre maggiore di report sulla sicurezza, gli attacchi via PEC non accennano a diminuire, pertanto si consiglia a tutti gli utenti di non abbassare la guardia e non sentirsi protetti soltanto perché si tende a pensare che siano caselle in qualche maniera più sicure o più protette.
Fonte: 1
