In questi giorni è stata osservata una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle precedenti, l’email mantiene lo schema noto, ma al posto del consueto link sulla parola “Fattura” presenta ora un file ZIP allegato contenente un JavaScript offuscato che avvia la compromissione.
Abuso di caselle PEC
I messaggi vengono inviati da caselle PEC compromesse verso altre caselle PEC, sfruttando il canale certificato per aumentare la credibilità. L’obiettivo è compromettere i sistemi delle vittime, in particolare Windows (dalla versione 10 in poi), installando malware infostealer tramite comando cURL.
Gli esperti evidenziano come venga mantenuta la stessa strategia temporale, con un ritorno delle attività in coincidenza con la ripresa lavorativa post-estiva.
Raccomandazioni
Il CSIRT Italia raccomanda di prestare attenzione a messaggi email sospetti, in particolare a quelli con oggetto relativo a fatture scadute e contenenti allegati ZIP, evitando in ogni caso di estrarre gli archivi e interagire con i file al loro interno. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it.
Azioni di contrasto
Le attività di contrasto sono già in atto con i Gestori PEC. Gli IoC della campagna sono stati diffusi tramite il Feed IoC del CERT-AGID.
https://cert-agid.gov.it/news/riprende-la-campagna-mintsloader/
