Il CERT-AGID ha segnalato una nuova ondata della campagna MintsLoader, la nona dall’inizio del 2025, evidenziando la capacità degli attori malevoli di adattarsi ai calendari lavorativi italiani. A differenza degli attacchi consueti del lunedì, questa volta la campagna è partita di mercoledì, probabilmente per sfruttare la festività nazionale del 2 giugno.
L’analisi delle date degli attacchi registrati nei primi sei mesi del 2025 conferma la chiara strategia temporale dei cybercriminali: sfruttano appieno le abitudini lavorative italiane, adattando i propri attacchi per massimizzare l’efficacia nei momenti in cui gli utenti sono più propensi a consultare la posta elettronica, in particolare la PEC, dopo periodi di pausa come weekend o festività.
Caratteristiche della campagna
Le campagne sfruttano MintsLoader, un loader PowerShell, per diffondere vari tipi di malware, soprattutto Infostealer, tramite caselle PEC compromesse. La catena d’infezione prevede email con link a file JavaScript offuscati, impiego di Domain Generation Algorithm (DGA) per generare indirizzi malevoli, attivazione dei domini durante le ore lavorative, nonostante le campagne vengano veicolate nelle prime ore del mattino, e rilascio controllato dei payload tramite script PowerShell. Tuttavia, a causa degli attenti controlli lato server, ottenere il payload finale sta diventando sempre più difficile per chi cerca di analizzare il malware.
Azioni di contrasto
Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Il CERT-AGID ha già condiviso gli IoC con i Gestori PEC e invita a prestare massima attenzione alle email PEC sospette, segnalando eventuali messaggi sospetti alla casella di posta malware@cert-agid.gov.it.
https://cert-agid.gov.it/news/nuova-campagna-mintsloader-conferma-una-mirata-strategia-temporale/
