Nei giorni scorsi il CERT-AGID ha contrastato una nuova campagna malspam massiva volta a diffondere il malware Vidar tramite e-mail PEC (Posta Elettronica Certificata).
Vidar è un infostealer venduto come Maas (Malware as a Service) che, una volta installato sul sistema provvede a carpire informazioni da browser e wallett digitali, dati relativi alle carte di credito e credenziali di accesso. Rilevato per la prima volta a fine 2018 da allora è stato visto in diversi attacchi ed impiegato anche come dropper per ransomware. Solitamente i vettori di diffusione di Vidar sono le campagne di phishing e le versioni pirata di software utility.
L’ultima campagna massiva italiana
Come per le campagne di distribuzione italiane rilevate a luglio e settembre dal CERT-AGID, l’attività dei criminali è iniziata poco dopo la mezzanotte ma questa volta è durata appena 20 minuti, riuscendo comunque a diffondere un numero considerevole di messaggi PEC con falsi solleciti di pagamento. Inoltre a differenza delle campagne precedenti tramite il link presente nel corpo del messaggio, le e-mail propinano un archivio ZIP che contiene un file .ISO (e non un file VBS) che contiene a sua volta uno script.JS e un file .LNK per il relativo suo avvio. L’esecuzione del file JS genererà e lancerà uno script Powershell per il download e l’avvio del malware sulla macchina della vittima.
Come difendersi
È consigliabile installare un antivirus tenendolo aggiornato ed evitare di scaricare file da fonti non sicure e di aprire e-mail sospette. Inoltre, è fondamentale utilizzare password complesse cambiandole regolarmente, evitando di utilizzare la stessa password su più account e attivare la verifica 2FA quando possibile.
Il CERT-AGID ha reso pubblici i dettagli della campagna riportando gli IoC.
