Il CERT-AGID ha segnalato l’emergere di una nuova campagna malevola che sfrutta lo schema della falsa condivisione di documenti, evoluzione della precedente ondata basata sulla distribuzione di una finta patch per la firma digitale.
In questo caso, i messaggi circolano in lingua inglese e indirizzano le vittime verso una falsa pagina Microsoft Outlook, dove viene richiesto l’inserimento dell’indirizzo e-mail. Una volta verificata la corrispondenza del dominio del destinatario, viene proposto il download di un file MSI.
L’obiettivo è quello di installare sul sistema della vittima PDQConnect, uno strumento legittimo di gestione remota normalmente impiegato dagli amministratori IT. In questa campagna, tuttavia, viene sfruttato per finalità malevole.
Secondo il CERT-AGID, dietro a queste attività si celano con buona probabilità gruppi di Initial Access Broker (IAB), specializzati nel reperimento di credenziali utili al primo accesso fraudolento ai sistemi e nella rivendita ad altri attori malevoli.
In Italia, la campagna osservata colpisce principalmente le pubbliche amministrazioni. I criminali registrano account RMM come PDQ Connect o Action1 utilizzando indirizzi e-mail gratuiti o compromessi, approfittando dei periodi di prova gratuita (una o due settimane), sufficienti per portare a termine l’attacco. Alla scadenza, vengono creati rapidamente nuovi account per proseguire l’attività senza interruzioni.
Gli Indicatori di Compromissione (IoC) legati a questa campagna sono già stati condivisi con le organizzazioni accreditate al flusso del CERT-AGID.
