Vidar, il malware riappare veicolato tramite account PEC violati

Una nuova campagna malspam massiva, veicolata tramite una serie di account di Posta Elettronica Certificata violate è stata rilevata e contrastata in data odierna. Lo avverte il CERT-AGID in un suo comunicato specificando che la campagna è molto simile a quella rilevata nel mese di luglio per diffondere Vidar.

Il messaggio che veicola Vidar

Il messaggio che fa riferimento ad un presunto mancato pagamento minaccerebbe un avvio pratica per il recupero del credito passati cinque giorni dalla stessa notifica e inviterebbe l’interessato a scaricare una fattura tramite link che in realtà punta ad un archivio ZIP contenente un file VBS (FatturaXXXXX.vbs).

Fonte CERT-AGID

Il file VBS una volta eseguito ottiene il payload del malware Vidar scaricando, tramite l’utilizzo di uno User-Agent “CryptoAPI, un file gif con contenuto offuscato con una funzione XOR eseguita bit a bit.

Precauzioni

Come osservato nel mese di luglio, l’attività dei criminali è iniziata poco dopo la mezzanotte ed è durata appena un’ora“, spiega il CERT-AGID.

Ciò nonostante si invita a prestare sempre attenzione a questo genere di comunicazioni che potrebbero comunque ripresentarsi come già accaduto. Va inoltre sottolineato che sebbene lo scopo principale di Vidar sia rubare informazioni, viene spesso utilizzato anche come testa di ponte per diffondere ransomware.

Il CERT-AGID ha reso pubblici i dettagli della campagna riportando gli IoC rilevati e ricorda di aver istituito una casella di posta dove poter inoltrare per un controllo le e-mail sospette:malware@cert-agid.gov.it

Su Salvatore Lombardo 323 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.