Negli scorsi giorni il CERT-AGID ha individuato e analizzato una campagna mirata alla diffusione del malware FormBook tramite e‑mail dirette, presumibilmente, a operatori del settore edilizio.

Il messaggio, ben formattato e curato nei dettagli, simula di provenire da un ufficio del Politecnico di Milano e invita i destinatari a presentare un’offerta per un presunto progetto, con una scadenza ravvicinata.

L’e-mail ingannevole invita il destinatario a consultare la documentazione allegata spingendolo ad aprire il file ZIP allegato, che invece di contenere uno o più documenti nasconde uno script JS malevolo.

Il codice JavaScript, parzialmente offuscato, avvia uno script PowerShell che scarica ed esegue ulteriori componenti. Nella fase finale, questi componenti installano il trojan FormBook, ampiamente consciuto e progettato per sottrarre credenziali e dati sensibili.

Un inganno aziendale credibile

La campagna, pur essendo tecnicamente semplice, risulta credibile e ben orchestrata: sfrutta dinamiche aziendali comuni, come inviti di partecipazione a progetti o proposte commerciali, per superare più facilmente la diffidenza dei destinatari. Questa somiglianza con situazioni reali aumenta la probabilità che i documenti vengano aperti e i contenuti malevoli, quindi, attivati. In questi casi conta poco la sofisticazione tecnica ma molto di più la capacità dell’attacco di incontrare le aspettative del ricevente.

Raccomandazioni

Il CERT-AGID, che ha informato tempestivamente il Politecnico di Milano, invita gli utenti a prestare la massima attenzione ai messaggi sospetti e a seguire le solite precauzioni del caso:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni provenienti da indirizzi email sconosciuti o appartenenti a domini sospetti, con errori di ortografia o variazioni rispetto al dominio ufficiale del mittente, o domini diversi da quelli attesi per l’interlocutore.
2. Diffidare di allegati compressi come ZIP e RAR, specie se provenienti da mittenti non noti: i file malevoli vengono spesso inviati all’interno di archivi perché ciò permette di eludere più facilmente i filtri antispam.
3. Non aprire eseguibili, script o file con estensioni insolite: controlla l’estensione dei file prima di aprirli e assicurati che corrisponda al tipo dichiarato (per esempio, .pdf per documenti PDF, .jpg/.jpeg/.png/.webp per immagini).
4. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo [email protected]

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC