CheckBlackList

Scopri le nuove tattiche di phishing avanzato (PDF malevoli, link “sicuri”, QR code) e impara a difenderti EFFICACEMENTE

Scopri le nuove tattiche di phishing avanzato (PDF malevoli, link “sicuri”, QR code) e impara a difenderti EFFICACEMENTE

Per chi ha fretta:
Attenzione a email e documenti (anche PDF) che parlano di tasse, scadenze o accessi: i cybercriminali li usano per truffe phishing avanzate. Nascondono link e QR code pericolosi dentro i file o sfruttano servizi cloud fidati (Dropbox, DocuSign) per ingannarti. L’obiettivo è rubare le tue password (soprattutto di Microsoft 365) e installare virus potenti (come Latrodectus). Non cliccare o scansionare nulla senza verificare e attiva sempre l’autenticazione a due fattori (MFA).

Campagne malevole sfruttano la dichiarazione dei redditi e comunicazioni ufficiali per rubare credenziali Microsoft 365 e installare malware. Le tecniche sono sempre più sofisticate per aggirare le difese.

Introduzione: Il periodo della dichiarazione dei redditi, insieme ad altre comunicazioni che sembrano ufficiali o urgenti, rappresenta un momento d’oro per i cybercriminali. Recenti analisi, incluse quelle di Microsoft Threat Intelligence, evidenziano una preoccupante intensificazione di campagne phishing su larga scala. Queste non si limitano più a semplici email ingannevoli, ma utilizzano tattiche raffinate e moderne per eludere i sistemi di sicurezza e trarre in inganno anche gli utenti più attenti, colpendo indistintamente aziende e privati cittadini. L’obiettivo principale è rubare le preziose credenziali di accesso, in particolare quelle di Microsoft 365 (usate da milioni di aziende e utenti), e infettare i dispositivi con malware pericolosi.

Le Nuove Frontiere dell’Inganno: PDF, QR Code e Servizi Legittimi

La vera insidia di queste campagne risiede nella loro capacità di apparire innocue. I cybercriminali utilizzano tecniche avanzate per bypassare i filtri anti-spam e i gateway di sicurezza:

  1. PDF come Cavalli di Troia: I file PDF malevoli spesso non contengono direttamente il virus, ma fungono da “contenitori” per elementi pericolosi. Al loro interno possono nascondere:
    • Link ingannevoli: Che rimandano a pagine di phishing identiche a quelle ufficiali (es. DocuSign, portali bancari, accesso Microsoft 365).
    • Codici QR (Quishing): Inquadrare un QR code con lo smartphone può portare direttamente a siti web fraudolenti o avviare il download di malware, aggirando i controlli di sicurezza del computer.
  2. Abuso di Servizi Fidati: Per non destare sospetti, i link malevoli o i file infetti vengono spesso ospitati su piattaforme cloud legittime e ampiamente utilizzate come Dropbox, Google Drive, OneDrive, Zoho, Adobe Cloud e servizi di firma digitale come DocuSign. Questo rende più difficile per i sistemi di sicurezza bloccare l’accesso, poiché il dominio iniziale è considerato affidabile.
  3. Tecniche di Evasione Avanzate: Vengono impiegati anche metodi come:
    • Link Shortener: Servizi come Bitly o simili mascherano l’URL di destinazione finale.
    • File SVG: Immagini vettoriali usate per veicolare script dannosi, talvolta bypassando i filtri basati sull’analisi dei tipi di file comuni.
    • Browser-in-the-Browser (BitB): Creazione di finte finestre di login che appaiono all’interno della finestra del browser legittima, rendendo quasi impossibile distinguerle da quelle reali se non si presta attenzione alla barra degli indirizzi principale.

L’Obiettivo Finale: Credenziali e Controllo del Dispositivo

Se l’utente cade nella trappola (cliccando un link, scansionando un QR code, abilitando macro in un documento), le conseguenze possono essere gravi:

  • Furto di Credenziali: Piattaforme di phishing sofisticate come “RaccoonO365” vengono utilizzate per creare pagine di login identiche a quelle di Microsoft 365. Una volta inseriti username e password, questi vengono rubati dai criminali, dando loro accesso a email, file aziendali e altri dati sensibili.
  • Installazione di Malware: Vengono distribuiti diversi tipi di software malevolo, tra cui:
    • Trojan di Accesso Remoto (RAT): Come Remcos, permettono ai criminali di prendere il controllo completo del computer della vittima a sua insaputa.
    • Downloader/Dropper: Come GuLoader e il sempre più diffuso Latrodectus, sono piccoli programmi che servono a scaricare e installare ulteriori malware più potenti.
    • Spyware: Come AHKBot, possono registrare cosa digiti, catturare screenshot dello schermo e inviare tutto ai criminali.
    • Framework di Attacco: Come BruteRatel C4 (BRc4), strumenti potenti usati per penetrare nelle reti aziendali, muoversi lateralmente e persistere nel tempo.

Esempi Recenti e l’Evoluzione Continua

Le campagne osservate nei primi mesi del 2025 illustrano bene queste tattiche:

  • Una campagna mirata agli utenti statunitensi (inizio Febbraio) utilizzava PDF con link a una finta pagina DocuSign. Cliccando, un sistema di controllo verificava se la vittima fosse “interessante”; in caso affermativo, veniva installato malware potente come BRc4 e Latrodectus. Altrimenti, veniva mostrato un file innocuo per non bruciare la copertura.
  • Un’altra vasta campagna (metà-fine Febbraio) ha colpito oltre 2.300 organizzazioni (IT, ingegneria, consulenza) con email contenenti PDF con QR code. La scansione portava a pagine di phishing RaccoonO365 camuffate da login Microsoft 365.
  • Altri metodi includono l’invio di file Excel con macro malevole (per AHKBot) o archivi ZIP mascherati da moduli fiscali (per GuLoader/Remcos).
  • Gruppi specifici, come Storm-0249, si sono dimostrati attivi anche su altri fronti, usando persino annunci su Facebook per distribuire Latrodectus mascherandolo da aggiornamento di Windows 11. Questo malware è in continua evoluzione, con versioni recenti che includono nuovi comandi e meccanismi per rimanere nascosto nel sistema (tramite attività pianificate).

Conclusione: La Difesa è nella Consapevolezza

Queste campagne dimostrano un livello di sofisticazione crescente e una continua ricerca di metodi per aggirare le difese tecniche. Sebbene i sistemi di sicurezza siano fondamentali, la prima linea di difesa resta l’utente. È cruciale adottare un atteggiamento di sana diffidenza verso qualsiasi comunicazione non richiesta o sospetta, specialmente se riguarda temi sensibili come tasse, pagamenti, scadenze o verifica di account.

Consigli per Evitare il Problema:

  1. Verifica Sempre il Mittente: Non fidarti del nome visualizzato. Controlla attentamente l’indirizzo email completo. Diffida di indirizzi strani, con errori di battitura o provenienti da domini generici (es. @gmail.com) per comunicazioni che dovrebbero essere ufficiali. In caso di dubbi, contatta l’ente o l’azienda tramite canali ufficiali (telefono, sito web digitato manualmente).
  2. Esamina Link e QR Code Prima di Cliccare/Scansionare:
    • Link: Passa il mouse sopra il link (senza cliccare) per vedere l’URL di destinazione reale nella parte inferiore del browser. Se sembra sospetto o non corrisponde al sito atteso, non cliccare.
    • QR Code: Sii estremamente cauto con i QR code in email o documenti non richiesti. Se proprio devi scansionarlo, usa app che mostrino un’anteprima dell’URL prima di aprirlo. Non scansionare QR code da fonti non attendibili.
  3. Massima Cautela con gli Allegati: Non aprire allegati inattesi, specialmente file eseguibili (.exe), script (.js, .vbs), archivi (.zip, .rar se non attesi) o documenti Office (.docx, .xlsx) che chiedono di abilitare le macro (“Abilita contenuto”). I PDF possono essere contenitori: anche se il PDF si apre, fai attenzione a qualsiasi link o pulsante al suo interno.
  4. Controlla l’URL delle Pagine di Login: Quando inserisci password (specialmente per Microsoft 365, home banking, etc.), verifica sempre che l’indirizzo nella barra del browser sia esattamente quello ufficiale (https://…) e che ci sia il lucchetto di connessione sicura. Diffida di reindirizzamenti o finestre di login “fluttuanti” (potrebbe essere BitB).
  5. Attiva l’Autenticazione a Due Fattori (MFA/2FA): È uno dei metodi più efficaci. Anche se rubano la tua password, i criminali non possono accedere all’account senza il secondo fattore (codice via SMS, app authenticator, token fisico). Abilitala ovunque sia possibile (email, cloud, social, banche).
  6. Usa e Aggiorna Software di Sicurezza: Mantieni aggiornato il sistema operativo, il browser e utilizza un buon software antivirus/endpoint security. Molti includono moduli anti-phishing e protezione da malware noto.
  7. Formazione e Consapevolezza: Soprattutto in ambito aziendale, la formazione continua dei dipendenti sui rischi del phishing e sulle tecniche di ingegneria sociale è fondamentale. Per i privati, rimanere informati sulle ultime minacce aiuta a riconoscerle.
  8. Segnala le Email Sospette: Usa la funzione “Segnala phishing” o “Segnala come spam” nel tuo client di posta. Questo aiuta i provider a migliorare i filtri per tutti.

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *