Falsa patch per firma digitale diffonde malware: attenti al nuovo phishing

Il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale (CERT-AgID), ha segnalato una nuova campagna di phishing che sfrutta come esca un presunto aggiornamento urgente di un noto software di firma digitale.

L’obiettivo degli attaccanti è quello di convincere la vittima a scaricare e installare una patch fasulla che, invece di migliorare la sicurezza, infetta il sistema con una backdoor.

La campagna ha come bersaglio primario le Pubbliche Amministrazioni, ma non si può escludere un’estensione anche a imprese e professionisti che fanno uso quotidiano della firma digitale.

Il meccanismo dell’attacco

La trappola si presenta sotto forma di un’e-mail apparentemente ufficiale che invita a scaricare un archivio compresso. All’interno dello ZIP si trova un file VBS, cioè uno script Visual Basic, che una volta eseguito avvia il processo di compromissione.

Gli analisti hanno notato come lo script non sia stato offuscato, una scelta insolita in un contesto dove la maggior parte dei malware tende a nascondere le proprie funzioni.

Inoltre, i commenti presenti nel codice sono scritti in lingua italiana, un dettaglio che lascia supporre l’uso di strumenti di intelligenza artificiale per generarlo oppure il tentativo deliberato di simulare una attribuzione italiana.

Fonte: CERT-AgID.

L’abuso del tool di amministrazione Action1

Il cuore dell’attacco risiede nell’installazione di Action1, un software legittimo utilizzato dagli amministratori di sistema per la gestione remota delle patch.

Normalmente questo strumento consente di distribuire aggiornamenti, monitorare macchine e mantenere in efficienza l’infrastruttura informatica. In questo caso viene invece sfruttato in modo illecito per concedere all’attaccante pieno accesso remoto al sistema.

Una volta ottenuto il controllo, il criminale ha così la possibilità di muoversi liberamente, esfiltrare dati, introdurre altri malware o predisporre fasi successive dell’attacco, incluse potenziale attività ransomware.

Fonte: CERT-AgID.

Perché la firma digitale è un’esca efficace

La scelta di utilizzare la firma digitale come tema della comunicazione fraudolenta è strategica.

In Italia questi strumenti sono ormai indispensabili per numerose attività legali e amministrative. Una comunicazione che annuncia un aggiornamento urgente viene percepita come prioritaria e spesso induce l’utente ad agire senza verificare con attenzione la fonte.

In tal modo il senso di urgenza, unito alla presunta affidabilità di tutto ciò che riguarda la sicurezza informatica e i processi certificati, rende l’attacco particolarmente credibile.

È lo stesso meccanismo psicologico che in passato ha reso efficaci campagne basate su finte PEC o finti aggiornamenti bancari.

Le conseguenze della compromissione

Le possibili conseguenze di un’infezione sono molteplici. L’attaccante, grazie a Action1, dispone degli stessi privilegi di un amministratore IT e può quindi accedere a dati sensibili, copiare archivi, installare ulteriori backdoor e soprattutto spostarsi lateralmente verso altri sistemi collegati alla rete interna.

In pratica, il primo accesso è solo una fase preparatoria. Una volta assicurata la persistenza, il criminale può decidere di monetizzare l’attacco tramite la vendita dei dati rubati, la richiesta di un riscatto o l’uso dell’infrastruttura compromessa per altre campagne.

Pertanto, il rischio non riguarda soltanto l’organizzazione colpita ma anche i cittadini e i soggetti esterni che interagiscono con essa.

Le contromisure necessarie

Contrastare questo tipo di minacce richiede un approccio multilivello.

Dal punto di vista tecnico, le organizzazioni devono rafforzare i sistemi di rilevamento e risposta, capaci di individuare attività anomale anche quando provengono da software legittimi.

È utile ridurre l’utilizzo degli script VBS, disabilitandone l’esecuzione se non strettamente indispensabile, e segmentare la rete per limitare l’impatto di un’eventuale compromissione.

Ma la tecnologia da sola non basta. Serve anche una componente organizzativa forte, fatta di formazione del personale e procedure di verifica.

Ogni comunicazione che annuncia aggiornamenti critici deve essere validata attraverso canali ufficiali e non tramite semplici e-mail.

Inoltre, predisporre piani di risposta agli incidenti permette di reagire rapidamente, isolando i sistemi compromessi e riducendo i tempi di recupero.

Una lezione per il futuro

La campagna scoperta dal CERT-AgID ci consegna una lezione che va oltre il singolo episodio. L’attacco dimostra come i criminali informatici non abbiano più bisogno di inventare exploit sofisticati o vulnerabilità sconosciute per compromettere un sistema: spesso è sufficiente colpire la fiducia che gli utenti ripongono in determinati strumenti.

La firma digitale, per definizione, rappresenta un simbolo di autenticità e sicurezza.

Allo stesso modo, l’idea di un aggiornamento urgente di un software critico trasmette la sensazione di un intervento necessario e legittimo. È proprio su questo binomio che l’inganno fa leva, trasformando due concetti percepiti come garanzia di affidabilità in veicoli di rischio.

La lezione da trarre è che la sicurezza non può più basarsi unicamente su un atto di fede nei confronti di ciò che appare certificato o ufficiale e che non deve essere solo appannaggio degli specialisti IT.

Ogni dipendente, funzionario o professionista che utilizza strumenti digitali deve sentirsi parte attiva della difesa, comprendendo che la sua attenzione può fare la differenza tra un tentativo di phishing neutralizzato e una compromissione su vasta scala.

L’unico antidoto davvero efficace è quindi un approccio integrato: sistemi resilienti, procedure solide e soprattutto utenti consapevoli. Solo così sarà possibile impedire che un file apparentemente innocuo, come uno script nascosto in un archivio ZIP, diventi l’innesco di un incidente informatico capace di bloccare intere organizzazioni.