Nella tarda serata del 2 febbraio 2025, è stata individuata una nuova campagna Vidar che segue lo schema già osservato in precedenti attacchi, caratterizzata dall’uso di tecniche di offuscamento avanzate e dall’impiego di Domain Generation Algorithm (DGA) per la generazione dinamica degli indirizzi malevoli. L’attività è stata rilevata intorno alla mezzanotte, con 136 host associati identificati durante l’analisi dell’incidente.

Le campagne malware Vidar proseguono con la loro cadenza ormai regolare, prendendo di mira gli utenti italiani ogni lunedì mattina. L’ultima ondata, rilevata nella notte del 20 gennaio 2025, sfrutta nuovamente le PEC compromesse per inviare e-mail esclusivamente ai possessori di caselle PEC, puntando sulla attendibilità di queste comunicazioni per massimizzare il tasso di successo degli attacchi.

Nella serata del 6 gennaio 2025, è stata rilevata una nuova campagna malware Vidar, che continua a sfruttare caselle PEC compromesse per diffondersi tra gli utenti italiani. Questa campagna presenta ulteriori elementi di complessità introducendo nuove tecniche per occultare la url da cui scaricare il payload.

La campagna è stata rilevata alle 00:30, e le operazioni di mitigazione, in collaborazione con i Gestori PEC, sono iniziate pochi minuti dopo, alle 00:35. Nel corso del monitoraggio sono stati identificati e bloccati 133 domini di secondo livello utilizzati per distribuire il malware. Come osservato nella campagna precedente, gli URL, che sfruttano path randomizzati per complicare l’identificazione preventiva, sono rimasti inattivi nelle prime fasi dell’attacco, per poi attivarsi nelle ore successive.

Nelle ultime settimane sono state osservate campagne di phishing mirate ai clienti di Intesa Sanpaolo, veicolate tramite PEC compromesse. Le email fraudolente, apparentemente ufficiali, invitano a cliccare su un link per aggiornare il dispositivo di accesso ai servizi bancari, conducendo a pagine che sottraggono credenziali e dati di carte di pagamento.

Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 18 novembre. Questo suggerisce una pianificazione strategica da parte degli autori, che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

Vidar, noto per le sue capacità di sottrazione di credenziali e furto di dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite PEC compromesse può indurre i destinatari a fidarsi dei messaggi ricevuti.

Il CERT-AGID ha recentemente identificato e mitigato, con il supporto dei Gestori PEC, una nuova campagna di malspam mirata a diffondere il malware Vidar. L’email, che appare provenire da un’azienda italiana, avverte il destinatario di un presunto mancato pagamento di una fattura. Tuttavia, come già osservato in campagne precedenti, dietro a un linguaggio formale e a una richiesta di pagamento si cela un grave pericolo: un link sulla parola Fattura che, se cliccato, avvia il download di un file VBS malevolo, dando così inizio a una catena di compromissione

Il gruppo criminale dietro a Vidar sta mostrando un forte accanimento in Italia, intensificando le sue operazioni e utilizzando le caselle PEC come canale principale per veicolare i suoi attacchi. Questa strategia si sta dimostrando particolarmente efficace, evidenziando un crescente interesse nello sfruttare le PEC per diffondere malware nel nostro paese.

Ieri questo CERT ha emesso un avviso riguardante una campagna di malspam veicolata tramite caselle PEC, nella quale il link utilizzato verso il dominio italiano Excite non supportava alcun payload malevolo. A quanto pare, gli autori di questa campagna hanno in seguito apportato delle modifiche, riproponendo gli stessi contenuti ma utilizzando un dominio attivo che rilascia un file JavaScript che porta all’installazione del malware Vidar.