Il CERT-AgID ha pubblicato un avviso relativo a una campagna malevola in corso volta a installare il software ScreenConnect per il controllo remoto di postazioni Windows.
La campagna si presenta come un’e-mail riguardante una fattura non pagata con allegato un PDF contenente un link che rimanda a un file malevolo e riportante la dicitura «Questo documento contiene file protetti, per visualizzarli, cliccare sul pulsante “Open”».
Cliccando sul link viene scaricato un eseguibile, uno zip o uno script a seconda dello specifico PDF che cambia di e-mail in e-mail: una volta eseguito il file malevolo scaricato, viene installato il software ScreenConnect per il controllo remoto del computer.
L’installazione è configurata per far connettere la macchina della vittima a un’istanza controllata dagli attaccanti senza bisogno dell’intervento dell’utente.
Questa campagna utilizza molti URL di servizi di file sharing (oltre a GitHub) per il download dei file malevoli. Questo, aggiunto al fatto che il software installato comunica con l’infrastruttura lecita di ConnectWise (l’azienda produttrice di ScreenConnect), rende difficile fornire una lista efficace di IoC. Pertanto, gli esperti del CERT-AgID raccomandano di prestare attenzione a questo tipo di e-mail.
Al momento non sono disponibili evidenze circa lo scopo degli attori dietro la campagna. Il controllo remoto della macchina della vittima – spiega il CERT-AgID – è anomalo rispetto alle usuali campagne malware che colpiscono l’Italia e che sono mirate al furto di informazioni e solo in seconda istanza, in modo puramente opportunistico, si trasformano in teste di ponte per il controllo remoto della macchina.
Il controllo della macchina permette agli attori malevoli di valutare il da farsi di caso in caso e, secondo gli esperti, è possibile che sia usato da operatori IAB (Initial Access Broker) che hanno il compito di valutare l’appetibilità della vittima per poi passare il comando ad attori Ransomware o di spionaggio. Alla prima ipotesi si aggiunge l’altrettanta anomala campagna del ransomware Knight diffuso per e-mail.
Il CERT-AgID ha diramato gli IoC rilevati e comunicato che, qualora si volesse bloccare temporaneamente la comunicazione con l’infrastruttura di ConnectWise, l’host di connessione (dominio) usato dai sample a disposizione è: instance-m73xwc-relay.screenconnect.com.
https://cert-agid.gov.it/news/campagna-screenconnect-per-il-controllo-remoto/
