Già molti mesi fa abbiamo visto e parlato per la prima volta del malware Vidar, che CERT-AGID ha segnalato di aver riscontrato in varie campagne in circolazione attualmente in Italia. Questo particolare virus viene utilizzato per sottrarre alle vittime una lunga serie di dati personali e, su questo blog, avevamo parlato della sua comparsa in truffe online come finti canali YouTube, finti accessi a ChatGPT e falsi siti AnyDesk. Da qualche mese il malware si sta ripresentando in modo continuativo mediante campagne veicolate tramite messaggi PEC, mettendo forse ancora più a rischio gli utenti italiani che, magari distrattamente, pensano che ogni messaggio inviato tramite questo canale sia meritevole di fiducia. Come vedremo questo è uno di quei casi nei quali non è così.
Nell’ultima campagna riscontrata, CERT-AGID racconta dal suo portale di aver notato come le caselle di posta prese di mira siano comunque quelle ordinarie, ma che le caselle d’invio siano PEC compromesse tramite le quali si inoltra un messaggio che parla di un corrispettivo in Euro da pagare e di una fattura da scaricare per un servizio ed un contratto stipulati nei mesi scorsi. Ovviamente, la fattura non è stata allegata alla mail, ma viene fornito un link ad un portale esterno, ma la cosa curiosa è quella riguardante i gli URL d’atterraggio, che sembrano essere stati attivati solo il mattino del giorno nel quale è iniziata l’offensiva. I domini utilizzati per queste minacce sono stati più di 100, mentre i sottodomini più di 1.000, ma a fare maggiormente impressione è la cadenza ormai regolare con la quale vengono iniziate queste offensive. È stato infatti osservato che anche nei casi passati questi attacchi sono iniziati sempre la domenica per far sì che i bersagli si ritrovino i messaggi al lunedì mattina e li confondano con la classica pila di messaggi legittimi che vengono trovati dopo il weekend nelle proprie caselle di lavoro.
Non è la prima volta che Vidar viene diffuso tramite caselle PEC compromesse, questo lo scopriamo dallo stesso portale di CERT-AGID, dove possiamo osservare come, solo in novembre, siano state tre le campagne segnalate dai loro approfondimenti, tutte con lo stesso modus operandi e tutte lanciate di domenica, solo che in questo caso la “novità” è proprio quella dei domini diversificati, cosa che precedentemente non era mai stata fatta. Come tutte le offensive, sembra proprio che anche questa si stia a poco a poco perfezionando, ed è per questo che AGID ha già dato segnalazione dell’accaduto ai soggetti erogatori di caselle PEC, poiché è necessario che quelle evidentemente compromesse dagli hacker vengano chiuse. CERT-AGID ha anche aperto un canale email per le segnalazioni di coloro che ricevono messaggi di posta sospetti via posta certificata. A tutti gli utenti, come sempre, possiamo solo consigliare di stare sempre ben attenti a ciò che si riceve ed ai link sui quali si clicca, a questo punto aggiungendo che questa attività, in questo caso, è maggiormente importante ogni lunedì.
Fonte: 1