Il CERT-AGID ha individuato una campagna malevola mirata alla diffusione del malware FormBook tramite e-mail ingannevoli indirizzate, con ogni probabilità, a operatori del settore edilizio.

Il messaggio fraudolento, ben formattato e curato nei dettagli, simula di provenire da un ufficio del Politecnico di Milano e invita i destinatari a presentare un’offerta per un presunto progetto, con una scadenza ravvicinata.

La dinamica dell’attacco

L’e-mail ingannevole invita il destinatario a consultare la documentazione allegata aprendo un archivio ZIP che, invece di contenere i documenti promessi, nasconde uno script JavaScript malevolo. Il codice, parzialmente offuscato, esegue uno script PowerShell che scarica e avvia ulteriori componenti, i quali nella fase finale installano il trojan FormBook. Questo malware è ampiamente conosciuto per la sua capacità di sottrarre credenziali e dati sensibili.

Un inganno credibile

Pur non essendo tecnicamente sofisticata, la campagna risulta credibile poiché sfrutta dinamiche aziendali comuni — come gli inviti a partecipare a progetti o bandi — rendendo il contenuto più verosimile e aumentando le probabilità che il destinatario apra i file allegati.

Raccomandazioni

Il CERT-AGID, che ha tempestivamente informato il Politecnico di Milano, invita a prestare la massima attenzione ai messaggi sospetti e a seguire le seguenti precauzioni:

  1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni provenienti da indirizzi e-mail sconosciuti o appartenenti a domini sospetti, con errori di ortografia o variazioni rispetto al dominio ufficiale del mittente, o domini diversi da quelli attesi per l’interlocutore.
  2. Diffidare di allegati compressi come ZIP e RAR, specie se provenienti da mittenti non noti: i file malevoli vengono spesso inviati all’interno di archivi perché ciò permette di eludere più facilmente i filtri antispam.
  3. Non aprire eseguibili, script o file con estensioni insolite: controlla l’estensione dei file prima di aprirli e assicurati che corrisponda al tipo dichiarato (per esempio, .pdf per documenti PDF, .jpg/.jpeg/.png/.webp per immagini).
  4. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

 Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/

 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: