Il CERT-AGID, l’ente nazionale responsabile per la gestione delle emergenze informatiche, ha emesso un avviso riguardo una campagna malevola in corso che mira a installare il software ScreenConnect per il controllo remoto di postazioni Windows. Questa campagna rappresenta una minaccia significativa per gli utenti di Windows, in quanto potrebbe consentire agli attaccanti di prendere il controllo remoto dei loro sistemi. Vediamo insieme i dettagli di questa campagna e come gli utenti possono proteggersi.
Dettagli della campagna malevola
La campagna malevola si manifesta attraverso e-mail che fingono di riguardare una fattura non pagata, con un allegato PDF che contiene un link a un file malevolo. Il messaggio all’interno del PDF indica: “Questo documento contiene file protetti, per visualizzarli, cliccare sul pulsante “Open””. Una volta cliccato sul link, viene scaricato un file eseguibile, uno zip o uno script, a seconda del PDF specifico, che varia da e-mail a e-mail.
Dopo l’esecuzione del file malevolo, viene installato il software ScreenConnect, configurato per connettere il sistema della vittima a un’istanza controllata dagli attaccanti, senza necessità di intervento da parte dell’utente. Questo software permette il controllo remoto del computer, mettendo potenzialmente a rischio le informazioni personali e aziendali dell’utente.
Implicazioni e rischi
Al momento, non sono disponibili evidenze chiare riguardo lo scopo ultimo degli attori dietro questa campagna. Tuttavia, è noto che il controllo remoto del sistema della vittima è una tattica anomala rispetto alle usuali campagne malware che colpiscono l’Italia, che tendono a mirare principalmente al furto di informazioni.
Gli attori malevoli potrebbero utilizzare il controllo remoto per valutare le azioni successive su base individuale, e potrebbe essere utilizzato da operatori IAB (Initial Access Broker) per valutare l’appetibilità della vittima, prima di passare il comando a attori ransomware o di spionaggio. Questa campagna si aggiunge a una recente ondata di attacchi ransomware, come quello del ransomware Knight, che viene diffuso tramite e-mail.
Raccomandazioni e misure di protezione
Per proteggersi da questa campagna, gli utenti sono invitati a prestare particolare attenzione a questo tipo di e-mail e a evitare di cliccare su link sospetti o aprire allegati da fonti non verificate. Inoltre, se si desidera bloccare temporaneamente la comunicazione con l’infrastruttura di ConnectWise, l’host di connessione usato dai campioni disponibili è: instance-m73xwc-relay.screenconnect.com.