Sommario
Una nuova ondata di attacchi malware sta minacciando le caselle di Posta Elettronica Certificata (PEC) in Italia, con il malware Vidar che torna a fare la sua comparsa. Questa volta, gli attacchi sono orchestrati utilizzando certificati EV (Extended Validation) per firmare moduli malevoli, una tattica che aumenta la gravità della minaccia. In questo articolo, esploriamo le dinamiche di questa nuova campagna e le misure di contrasto messe in atto dalle autorità competenti.
Dettagli della campagna malware e azioni di contrasto
Il CERT-AGID, con il supporto dei gestori PEC interessati, ha rilevato e contrastato una massiccia campagna malware veicolata tramite una serie di account PEC precedentemente violati. L’attività criminale è iniziata poco dopo la mezzanotte e ha avuto una durata di appena un’ora, con email inviate tra le 01:27 e le 02:14. Il messaggio email utilizzato per la campagna è molto simile a quello usato nel mese di luglio per diffondere Vidar, con una leggera modifica nel codice VBS contenuto nel file ZIP scaricato dalla vittima cliccando sul link “Fattura”. L’eseguibile di Vidar viene ottenuto attraverso il download di un file .gif, il cui contenuto è stato XORato, e può essere scaricato solo utilizzando uno User-Agent “CryptoAPI”.
Le azioni di contrasto sono già state messe in atto con il supporto dei gestori PEC, e gli indicatori di compromissione (IoC) sono stati diffusi attraverso il feed IoC del CERT-AgID. Si invita a prestare sempre attenzione a questo genere di comunicazioni e, in caso di dubbio, a inoltrare l’email per un controllo all’indirizzo malware@cert-agid.gov.it.
Abuso di certificati EV e implicazioni per la sicurezza
Parallelamente, la ricerca di TrendMicro ha evidenziato che, nonostante le misure di sicurezza aggiuntive introdotte dal CA/Browser Forum (CABF) a giugno, sono stati utilizzati oltre 30 campioni di codice firmati con certificati EV da luglio ad agosto 2023 in relazione a questo caso. Il malware, identificato come TrojanSpy.Win32.VIDAR.SMA, è polimorfo, con ogni campione che presenta un hash diverso. Non è ancora chiaro come l’attore minaccioso abbia avuto accesso alla chiave privata.
Il caso evidenzia una problematica significativa con la revoca dei certificati, poiché la data di revoca impostata inizialmente non ha invalidato la firma del campione di malware, permettendo così la continuazione della verifica della firma valida. Dopo il contatto con l’ente certificatore, la data di revoca è stata aggiornata, invalidando tutte le firme di campioni osservati pubblicamente dopo il 21 marzo.
Cosa sono i certificati EV?
I certificati EV (Extended Validation) sono certificati digitali che offrono un livello più elevato di fiducia, confermando che l’entità che controlla il sito web è chi dice di essere, attraverso un processo di verifica più rigoroso rispetto ai certificati standard.
