Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing malevola veicolata tramite messaggi PEC, verosimilmente provenienti da caselle compromesse, contenenti allegati compressi in formato ZIP al cui interno è presente una pagina HTML malevola a tema “Fattura Elettronica”.

Descrizione e potenziali impatti

Nel dettaglio, La campagna osservata prevede l’invio di un messaggio PEC contenente un allegato ZIP. All’interno dell’archivio è presente un file HTML denominato in modo compatibile con una presunta documentazione fiscale o amministrativa.

Una volta aperta, la pagina mostra un’interfaccia apparentemente legittima composta da un riquadro centrale, il titolo “Fattura Elettronica”, un breve testo descrittivo e un pulsante “Scarica Fattura”. Nel footer sono presenti riferimenti societari e fiscali, verosimilmente inseriti per aumentare la credibilità della pagina e indurre l’utente a interagire con il contenuto. (Figura 1)

L’analisi del codice evidenzia che il collegamento al payload non è presente in chiaro al caricamento della pagina in quanto l’url remoto per il download del malware viene costruito e assegnato dinamicamente tramite JavaScript solo al passaggio del mouse sul pulsante.

La pagina utilizza il localStorage del browser per registrare l’avvenuta interazione, probabilmente allo scopo di evitare ripetizioni e rendere meno evidente il comportamento durante le fasi di analisi.

Inoltre, viene effettuato un controllo dello user-agent del browser, verificando la presenza della stringa “windows”. Qualora venga rilevato un ambiente Windows, viene mostrata la falsa interfaccia di download. In caso contrario, viene visualizzato un messaggio alternativo secondo cui il download della fattura sarebbe disponibile soltanto da PC. (Figura 2)

Il dominio remoto non è presente in chiaro nel file html, ma viene ricostruito tramite una sequenza numerica sottoposta a operazione XOR .

La pagina HTML rappresenta la fase iniziale di una catena di infezione più articolata. Una volta eseguito su sistemi Windows tramite Windows Script Host , agisce come dropper e provvede alla generazione su disco di uno script PowerShell che successivamente viene eseguito in modalità nascosta mediante Windows Management Instrumentation , con parametri finalizzati a ridurre la visibilità dell’attività e ad aggirare le policy di esecuzione configurate sul sistema. In particolare, sono stati osservati l’utilizzo di PowerShell senza caricamento del profilo utente, l’esecuzione con finestra nascosta e il bypass dell’Execution Policy.

Il codice PowerShell contiene ulteriori livelli di offuscamento e procede alla decodifica ed esecuzione dinamica di contenuto remoto, recuperato da un’infrastruttura riconducibile al dominio utilizzato dall’attaccante. Sono state inoltre rilevate routine finalizzate alla rimozione degli artefatti utilizzati nella catena di infezione, inclusi il file HTML iniziale, il payload JavaScript e lo script PowerShell temporaneo

Qualora la catena di infezione venga completata, l’attaccante potrebbe ottenere una compromissione dell’endpoint, eseguire codice nel contesto dell’utente, scaricare ulteriori payload, instaurare meccanismi di persistenza, raccogliere informazioni locali o avviare comunicazioni verso infrastrutture controllate da remoto.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute tramite PEC e attivando le seguenti misure aggiuntive, con priorità per utenze privilegiate, amministrative e ad alto rischio:

• gli utenti dovrebbero evitare l’apertura di allegati compressi contenenti file HTML o altri file attivi, anche qualora la comunicazione provenga da una casella PEC apparentemente attendibile, verificando sempre la coerenza tra il contenuto dichiarato e l’estensione del file proposto per il download;
• le organizzazioni possono applicare restrizioni sulle utenze privilegiate impedendo l’esecuzione di file .js, .jse, .vbs, .wsf, .hta e script analoghi da cartelle utente, directory temporanee, cartella Download e percorsi estratti da archivi compressi;
• le organizzazioni possono configurare controlli dedicati su gateway PEC, proxy, DNS ed EDR/XDR per bloccare o sottoporre a sandbox allegati ZIP contenenti file HTML e per generare alert in caso di download di script da domini remoti non categorizzati o sospetti;

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)1 forniti nell’apposita sezione.

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio .