Il CERT-AGID ha rilevato una nuova campagna malware massiva, veicolata tramite una serie di account di Posta Elettronica Certificata precedentemente violate e indirizzata verso altre email PEC.
Come osservato nel mese di luglio dagli esperti, l’attività dei cybercriminali è iniziata poco dopo la mezzanotte ed è durata appena un’ora. Nello specifico, stando ai dettagli forniti dai Gestori PEC, si ha avuto evidenza di email inviate a partire dalle ore 01:27 fino alle ore 02:14.
Il messaggio email utilizzato per la campagna è molto simile a quello veicolato nel mese di luglio per diffondere il malware Vidar; cambia leggermente il codice VBS contenuto nel file ZIP scaricato dalla vittima cliccando sul link “Fattura”.
Questa volta l’eseguibile di Vidar viene ottenuto attraverso il download di un file (.gif – il cui contenuto è stato XORato) scaricabile solo se richiesto tramite l’utilizzo di uno User-Agent “CryptoAPI”.
La campagna è stata contrastata ieri dal CERT-AGID e sono state messe in atto le attività di contrasto con il supporto dei Gestori PEC. Gli IoC dedicati sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e verso le strutture accreditate.
Il CERT-AgID invita a prestare sempre attenzione a questo genere di comunicazioni e, nel dubbio, è possibile inoltrare per un controllo l’email alla casella di posta malware@cert-agid.gov.it
https://cert-agid.gov.it/news/il-malware-vidar-torna-ad-insidiare-le-caselle-pec/
