Il CSIRT Italia ha individuato una campagna di phishing veicolata tramite messaggi PEC provenienti verosimilmente da caselle compromesse. Gli attaccanti inviano email con allegati ZIP che contengono file HTML fraudolenti a tema “Fattura Elettronica”.

Aprendo il file, la vittima visualizza una finta interfaccia di download con pulsante “Scarica Fattura”, progettata per sembrare legittima. Il comportamento malevolo è attivato tramite JavaScript solo dopo l’interazione dell’utente, mentre tecniche di offuscamento nascondono l’URL del payload.

L’analisi tecnica evidenzia diverse tecniche di evasione: il link al payload non è presente in chiaro ma viene generato dinamicamente via JavaScript al passaggio del mouse. Viene inoltre utilizzato il localStorage per tracciare l’interazione e ridurre la rilevabilità del comportamento.

La pagina verifica lo user-agent e, se rileva Windows, mostra la finta schermata di download, mentre su altri sistemi limita l’accesso per spingere l’utente a usare un PC. Il dominio remoto viene offuscato tramite operazioni XOR su sequenze numeriche.

La pagina HTML costituisce la prima fase della catena di infezione: su Windows può attivare un dropper che genera ed esegue uno script PowerShell nascosto tramite WMI, con bypass delle policy ed esecuzione in finestra invisibile. Il payload PowerShell è ulteriormente offuscato e scarica contenuti remoti malevoli, eliminando anche le tracce locali.

Se completata, la catena può portare alla compromissione del sistema, esecuzione di codice, furto di dati, persistenza e comunicazioni con infrastrutture controllate dall’attaccante.

Raccomandazioni

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute tramite PEC e attivando le seguenti misure aggiuntive, con priorità per utenze privilegiate, amministrative e ad alto rischio:

  • evitare l’apertura di allegati compressi contenenti file HTML o altri file attivi, anche qualora la comunicazione provenga da una casella PEC apparentemente attendibile, verificando sempre la coerenza tra il contenuto dichiarato e l’estensione del file proposto per il download;
  • applicare restrizioni sulle utenze privilegiate impedendo l’esecuzione di file .js, .jse, .vbs, .wsf, .hta e script analoghi da cartelle utente, directory temporanee, cartella Download e percorsi estratti da archivi compressi;
  • configurare controlli dedicati su gateway PEC, proxy, DNS ed EDR/XDR per bloccare o sottoporre a sandbox allegati ZIP contenenti file HTML e per generare alert in caso di download di script da domini remoti non categorizzati o sospetti;
  • implementare sui propri apparati di sicurezza gli Indicatori di Compromissione (IoC) forniti dal CSIRT Italia.

La campagna conferma l’evoluzione delle tecniche di phishing verso catene di infezione multi-stadio, basate su ingegneria sociale avanzata, offuscamento del codice e uso combinato di tecnologie web e scripting lato sistema operativo.

https://www.acn.gov.it/portale/en/w/rilevata-campagna-phishing-a-tema-fattura-elettronica-

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: