Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 18 novembre. Questo suggerisce una pianificazione strategica da parte degli autori, che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.
Vidar, noto per le sue capacità di sottrazione di credenziali e furto di dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite PEC compromesse può indurre i destinatari a fidarsi dei messaggi ricevuti.
Il CERT-AGID ha recentemente identificato e mitigato, con il supporto dei Gestori PEC, una nuova campagna di malspam mirata a diffondere il malware Vidar. L’email, che appare provenire da un’azienda italiana, avverte il destinatario di un presunto mancato pagamento di una fattura. Tuttavia, come già osservato in campagne precedenti, dietro a un linguaggio formale e a una richiesta di pagamento si cela un grave pericolo: un link sulla parola Fattura che, se cliccato, avvia il download di un file VBS malevolo, dando così inizio a una catena di compromissione
Il gruppo criminale dietro a Vidar sta mostrando un forte accanimento in Italia, intensificando le sue operazioni e utilizzando le caselle PEC come canale principale per veicolare i suoi attacchi. Questa strategia si sta dimostrando particolarmente efficace, evidenziando un crescente interesse nello sfruttare le PEC per diffondere malware nel nostro paese.
Ieri questo CERT ha emesso un avviso riguardante una campagna di malspam veicolata tramite caselle PEC, nella quale il link utilizzato verso il dominio italiano Excite non supportava alcun payload malevolo. A quanto pare, gli autori di questa campagna hanno in seguito apportato delle modifiche, riproponendo gli stessi contenuti ma utilizzando un dominio attivo che rilascia un file JavaScript che porta all’installazione del malware Vidar.
Questo fine settimana è stata identificata e contrastata una campagna malevola che utilizzava alcuni account PEC compromessi per colpire altri utenti di Posta Elettronica Certificata.
È stata rilevata la terza campagna malevola nel giro di un mese mirata a diffondere il malware Vidar tramite email PEC compromesse ed inviata ad altri indirizzi PEC. Anche questa nuova ondata di attacchi si distingue per l’invio di comunicazioni fraudolente che sollecitano il pagamento di una presunta fattura insoluta, minacciando conseguenze legali in caso di mancato adempimento.
A distanza di due settimane ritorna un’ondata di malspam tramite PEC mirata a diffondere il malware Vidar. Il nuovo modello di email sembra essere una risposta alla comunicazione precedente e include un link che permette di scaricare un file JavaScript malevolo, solo dopo aver verificato lato backend che la richiesta provenga da un client Windows.
Una massiccia campagna di malspam, avviata nella notte tra il 5 e il 6 agosto, ha tentato di diffondere su larga scala il malware Vidar attraverso messaggi indirizzati alle caselle di Posta Elettronica Certificata. Gli attacchi, che hanno interessato un numero considerevole di utenti PEC, sono stati portati a termine durante la nottata, sfruttando un template già noto per diffondere il malware attraverso account PEC precedentemente violati.
Nella giornata odierna è emersa una campagna di phishing volta all’appropriazione indebita delle credenziali delle Poste Elettroniche Certificate (PEC). Tale operazione fraudolenta si concretizza attraverso l’invio di un’email ingannevole, destinata agli utenti di caselle PEC. Il messaggio avvisa di una presunta richiesta di disattivazione dell’account, da completarsi entro 24 ore, e suggerisce di cliccare su un link fornito nel corpo del messaggio nel caso si ritenga ciò un errore.
