Il CERT-AGID segnala una campagna malevola in corso che sfrutta account email compromessi di utenti della Pubblica Amministrazione per inviare messaggi verso altre PA. La campagna è attiva dall’8 dicembre e i messaggi, con oggetto e contenuto in lingua inglese o talvolta in italiano, invitano i destinatari ad aprire uno o più allegati PDF presenti nell’email. Gli indirizzi dei destinatari sono nascosti in CCN.
Amministrazioni coinvolte
Al momento risultano compromesse due PA, di cui una ha confermato la compromissione nella giornata di ieri. Gli esperti non escludono che altre amministrazioni potrebbero essere coinvolte.
Cosa accade aprendo il file PDF
Aprendo il PDF, l’utente visualizza una schermata che annuncia la ricezione di un nuovo documento e invita a cliccare su “REVIEW DOCUMENTS”. Il messaggio è creato per sembrare una notifica legittima e spingere l’utente a cliccare sul link per visionare il documento. Una volta cliccato, l’utente viene indirizzato a una pagina reale di Figma dove gli viene richiesto l’accesso tramite email o autenticazione Google. Dopo il login, l’utente resta in attesa di approvazione per visualizzare il contenuto. Al momento non sono disponibili informazioni su ciò che accade successivamente, tuttavia, l’uso di una piattaforma legittima suggerisce che l’attacco punti a raccogliere informazioni sugli account o preparare un possibile secondo step della campagna, come l’invio di ulteriori link o file malevoli, sfruttando la fiducia generata dall’accesso a un servizio legittimo.
Scenari plausibili
In questa fase l’attaccante potrebbe raccogliere informazioni sugli utenti che accedono al file Figma, ottenendo così indirizzi email reali e nominativi completi da utilizzare per step successivi della campagna. Un’altra possibilità è che, una volta approvato l’accesso, il file Figma venga utilizzato per mostrare link o materiali aggiuntivi che potrebbero portare a contenuti malevoli. Infine, un’ulteriore ipotesi è quella di un secondo contatto via email: dopo aver visto che l’utente ha interagito con Figma, l’attaccante potrebbe inviargli un messaggio di follow-up più mirato e convincente.
Azioni di contrasto
Il CERT-AGID ha informato le PA coinvolte, segnalato i link malevoli a Figma e distribuito gli hash dei PDF alle PA accreditate al Flusso IoC. Gli indicatori di compromissione rilevati sono disponibili sulla pagina ufficiale.
