Più volte, nelle ultime settimane, abbiamo parlato della ormai lunga e mutevole campagna phishing che mira al controllo delle caselle PEC degli utenti messi nel mirino tramite messaggi fasulli. Come già sappiamo, il malware che si tenta di distribuire è Vidar, minaccia della quale solo in Italia si ha traccia sin dal giugno 2023 stando alle notizie racchiuse nel portale CERT-AGID. Nonostante tutte le azioni messe in campo, come spesso accade, la capacità di sfuggire e di mutare le tecniche per fare breccia da parte di coloro che diffondono questo malware hanno fatto sì che, con cadenza regolare, si sia arrivati fino al 6 gennaio 2025 continuando a distribuire email contenenti file malevoli.
Come già sappiamo, la strategia di diffusione di Vidar è variata col tempo ed è stata ben ponderata, poiché per un lungo periodo si facevano partire le email certificate soltanto di domenica per far sì che esse finissero nella catasta di messaggi ricevuti nel fine settimana e che quindi venissero anche confuse con messaggi legittimi. Per fare questo sono stati sfruttati centinaia di domini e sottodomini, prontamente bloccati grazie alla stretta collaborazione di AGID con le aziende distributrici di caselle PEC. L’ultima segnalazione, che come anticipato è stata effettuata il 6 gennaio scorso, vede sempre la diffusione di messaggi tramite caselle di posta certificata già compromesse ma in questo specifico caso si è aggiunta una nuova tecnica che aggiunge pericolosità alla minaccia, vale a dire l’offuscamento dell’URL per il download dei file malevoli.
Stavolta, i domini utilizzati sono stati 148 e gli URL utilizzati per il download dei payload sono stati lasciati non attivi per proteggerli fin quando non fosse partita la campagna. A complicare il tutto c’è stato anche l’offuscamento del file JavaScript oltre alla rotazione degli IP, delle caselle di spedizione e dei domini ogni 3 minuti, cosa che ha reso più difficoltose le operazioni di protezione. Guardando il messaggio contenuto nelle PEC inviate, esso fa come sempre riferimento a pagamenti dovuti dal destinatario in virtù di non si sa quale contratto stipulato in una data fittizia. Trattandosi di un sollecito e di una congiunta minaccia di azioni legali in caso di mancato pagamento, vengono dati dei termini per pagare ed un link diretto per il download della fattura, che come sappiamo nasconde proprio la trappola.
CERT-AGID ha diramato la notizia in data 7 gennaio sottolineando che, come spiegato poco fa, le azioni congiunte con i gestori delle PEC sono state già messe in atto per bloccare anche questa nuova ondata di messaggi spam per diffondere Vidar. Mentre adesso verrebbe da dire che si attende soltanto la prossima campagna per capire se sarà sempre condotta in questo modo o se ci saranno altre piccole modifiche. Dal canto nostro, come sempre, consigliamo di cestinare email e/o PEC contenenti strani solleciti di pagamento e link a fantomatiche fatture. Per avere maggiori delucidazioni, se si hanno dubbi, si può sempre provare a telefonare al cliente per sapere se è stata effettivamente scritta ed inviata da lui, ma osservando il dominio d’invio è quasi sicuro che non vedremo un vero fornitore.
Fonte: 1