È stata individuata dal CERT-AgID una nuova campagna del malware Vidar che prende di mira gli utenti italiani attraverso caselle PEC (Posta Elettronica Certificata) compromesse.
In particolare, questo ultimo attacco utilizzerebbe nuove tecniche di offuscamento per nascondere l’URL del payload, rendendo più difficile sia l’individuazione che la prevenzione della minaccia.
Vale la pena notare che, dalla scorsa estate, le campagne malspam Vidar (via PEC compromesse) sono riapparse dopo circa 8 mesi di stop, interessando l’Italia ciclicamente sempre con nuove strategie e URL aggiornati.
Indice degli argomenti
Metodo di attacco del malspam Vidar
Gli attaccanti inviano e-mail fraudolente da caselle PEC compromesse, che appaiono legittime agli occhi dei destinatari.
I link ad allegati in esse contenuti, una volta aperti, scaricano il malware Vidar sul dispositivo della vittima. Nella fattispecie si presentano come solleciti di pagamento che invitano a scaricare la relativa fattura.
Fonte: CERT-AgID.
A complicare ulteriormente le azioni di difesa, secondo gli esperti del CERT-AgID, ci sarebbe il cambiamento ad intervalli regolari (ogni 2-3 minuti) dei riferimenti agli indirizzi IP, domini e caselle di posta elettronica impiegati.
Tecniche di offuscamento
Una delle caratteristiche distintive di quest’ultima campagna sarebbe, sempre secondo il rapporto, l’uso di nuove tecniche di offuscamento.
Queste tecniche nasconderebbero l’URL del payload, rendendo più difficile per i sistemi di sicurezza rilevare e bloccare il malware, aumentando di fatto in modo significativo le probabilità di portare a segno l’attacco.
Fonte: CERT-AgID.
“Un ulteriore elemento di novità è stato l’utilizzo di un file JavaScript con un metodo di offuscamento migliorato”, spiega il CERT-AgID. “Il file JS è stato riscritto per eseguire un’operazione XOR sui valori di una lista e convertire i risultati in caratteri tramite [la funzione] chr(), rendendo più complesso il processo di analisi e rilevamento”.
Altre strategie per eludere la sicurezza
La distribuzione del malware sarebbe stata accompagnata anche da nuove strategie per eludere i sistemi di sicurezza basati sullo sfruttamento di un “Domain Generation Algorithm (DGA) e path randomizzati”, impiegando ben 148 domini di secondo livello con URL rimasti inizialmente inattivi, complicando ulteriormente la possibilità di prevenzione.
Raccomandazioni di sicurezza
Il malware Vidar è un infostealer, scoperto per la prima volta alla fine del 2018, che opera come Malware-as-a-Service (MaaS).
Noto per rubare informazioni sensibili, come credenziali di accesso, dati finanziari e altre informazioni personali, Vidar potrebbe essere utilizzato anche come downloader per altri tipi di malware, inclusi i ransomware.
Gli operatori di Vidar potrebbero inoltre vendere l’accesso ai dispositivi infetti ad altri criminali informatici.
Inoltre, il malware sarebbe conosciuto per l’utilizzo dei social media come parte della propria infrastruttura C2, incorporando i relativi indirizzi IP in profili utente delle piattaforme Steam e Telegram.
Per proteggersi da questo tipo di attacchi, è fondamentale:
- Mantenere aggiornati i software di sicurezza.
- Verificare attentamente l’autenticità delle e-mail ricevute.
Il Cert-AgiD esorta altresì gli utenti che dovessero ricevere e-mail sospette anche tramite PEC a non cliccare su link o scaricare allegati e a segnalare le e-mail all’indirizzo di posta elettronica opportunamente predisposto (malware@cert-agid.gov.it) per le verifiche del caso.
