Falso update Windows distribuisce infostealer

Il Computer Emergency Response Team Ucraina (CERT-UA) afferma che il gruppo nation-state APT28 avrebbe inviato false e-mail impersonando amministratori di sistema delle entità governative ucraine allo scopo di rubare loro informazioni di base distribuendo un infostealer.

Le e-mail inviate da indirizzi e-mail @outlook.com utilizzando dei nomi di dipendenti reali acquisiti precedentemente conterrebbero istruzioni su come aggiornare Windows per difesa contro gli attacchi informatici.

In realtà le istruzioni portano i destinatari a eseguire un primo comando PowerShell che simula un processo di aggiornamento di Windows mentre in background scarica un secondo PowerShell che si occuperebbe di raccogliere informazioni di base e inviatrke tramite una richiesta HTTP ad un’API del servizio Mocky presidiato.

Si consiglia di seguire le raccomandazioni di mitigazione del CERT-UA anche in Italia ovvero “limitare la capacità degli utenti di avviare PowerShell e monitorare le connessioni di rete all’API del servizio Mocky.