Registrata una nuova ondata della campagna malevola MintsLoader, la nona rilevata dall’inizio del 2025, che evidenzia come gli attori malevoli sappiano ben adattarsi ai calendari lavorativi italiani.

È stata individuata una nuova campagna malevola che sfrutta MintsLoader, noto loader basato su PowerShell, finalizzato a distribuire il malware Stealc. Come già osservato nelle campagne precedenti, la catena di infezione inizia con e-mail inviate da caselle PEC compromesse, contenenti link a file JavaScript offuscati.

Seppur il metodo di diffusione resti invariato, il passaggio da Vidar ad AsyncRat suggerisce una possibile evoluzione nelle finalità dell’attacco: mentre Vidar è un infostealer specializzato nel furto di credenziali e dati finanziari, AsyncRat consente un controllo remoto prolungato sui sistemi infetti, ampliando le capacità degli attaccanti.

Nella tarda serata del 2 febbraio 2025, è stata individuata una nuova campagna Vidar che segue lo schema già osservato in precedenti attacchi, caratterizzata dall’uso di tecniche di offuscamento avanzate e dall’impiego di Domain Generation Algorithm (DGA) per la generazione dinamica degli indirizzi malevoli. L’attività è stata rilevata intorno alla mezzanotte, con 136 host associati identificati durante l’analisi dell’incidente.

Le campagne malware Vidar proseguono con la loro cadenza ormai regolare, prendendo di mira gli utenti italiani ogni lunedì mattina. L’ultima ondata, rilevata nella notte del 20 gennaio 2025, sfrutta nuovamente le PEC compromesse per inviare e-mail esclusivamente ai possessori di caselle PEC, puntando sulla attendibilità di queste comunicazioni per massimizzare il tasso di successo degli attacchi.

Nella serata del 6 gennaio 2025, è stata rilevata una nuova campagna malware Vidar, che continua a sfruttare caselle PEC compromesse per diffondersi tra gli utenti italiani. Questa campagna presenta ulteriori elementi di complessità introducendo nuove tecniche per occultare la url da cui scaricare il payload.

La campagna è stata rilevata alle 00:30, e le operazioni di mitigazione, in collaborazione con i Gestori PEC, sono iniziate pochi minuti dopo, alle 00:35. Nel corso del monitoraggio sono stati identificati e bloccati 133 domini di secondo livello utilizzati per distribuire il malware. Come osservato nella campagna precedente, gli URL, che sfruttano path randomizzati per complicare l’identificazione preventiva, sono rimasti inattivi nelle prime fasi dell’attacco, per poi attivarsi nelle ore successive.

Nelle ultime settimane sono state osservate campagne di phishing mirate ai clienti di Intesa Sanpaolo, veicolate tramite PEC compromesse. Le email fraudolente, apparentemente ufficiali, invitano a cliccare su un link per aggiornare il dispositivo di accesso ai servizi bancari, conducendo a pagine che sottraggono credenziali e dati di carte di pagamento.

Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 18 novembre. Questo suggerisce una pianificazione strategica da parte degli autori, che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

Vidar, noto per le sue capacità di sottrazione di credenziali e furto di dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite PEC compromesse può indurre i destinatari a fidarsi dei messaggi ricevuti.