Negli ultimi giorni è stata osservata una nuova campagna malevola a tema condivisione documenti, che riprende lo schema già osservato nella precedente distribuzione della finta patch per la firma digitale. In questo caso, però, i messaggi sono in lingua inglese e viene utilizzato uno strumento diverso.

L’e-mail presenta un link che rimanda a una falsa pagina di Microsoft Outlook in cui viene richiesto di inserire il proprio indirizzo e-mail.

Dopo l’inserimento dell’indirizzo e-mail, viene effettuata una verifica su un dominio esterno per accertarsi che l’indirizzo corrisponda con quello del destinatario dell’email. In caso affermativo viene proposto il download di un file MSI. L’obiettivo è quello di installare sul sistema della vittima PDQConnect, uno strumento legittimo di gestione remota normalmente usato dagli amministratori IT, ma sfruttato in questo caso per finalità malevole.

Dietro queste campagne ci celano probabilmente gruppi di Initial Access Broker (IAB), specializzati nel reperimento delle credenziali utili al primo accesso fraudolento ai sistemi per poi rivenderle ad altri attori malevoli. In Italia, gli attacchi osservati dal CERT-AGID sono indirizzati principalmente alle pubbliche amministrazioni.

Per registrarsi ai servizi RMM come PDQ Connect o Action1, i criminali utilizzano indirizzi e-mail gratuiti o caselle di posta personali già compromesse, approfittando dei periodi di prova messi a disposizione (una o due settimane, più che sufficienti per i loro scopi). Alla scadenza di questi periodi gli stessi creano rapidamente nuovi account, continuando così l’attività senza interruzioni.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC