È in corso una campagna di phishing che sta distribuendo un allegato PDF che esorta le vittime a effettuare l’aggiornamento di DIKE, il famoso software di firma digitale, ma il finto pacchetto di installazione Windows in formato MSI nasconde un malware. Ecco i dettagli e come difendersi
Le attività di monitoraggio del CERT-AGID hanno individuato una campagna di e-mail di phishing, ancora in corso, volta a distribuire un allegato PDF il cui testo esorta la vittima a effettuare quanto prima l’aggiornamento del noto tool per la firma digitale “DIKE”.
L’URL propinato hxxps[:]//infocert-dike.firstcloudit[.]com/download/aggiornamenti/Windows/Dike_Infocert_upgrade.msi tramite il link Scarica l’aggiornamento e presente all’interno dello stesso documento, presenta un pacchetto di installazione Windows Dike_Infocert_upgrade.msi.
In realtà, eseguendo questo file non si fa altro che installare il software di controllo remoto legittimo Atera Agent opportunamente configurato dagli attori della minaccia per ottenere persistenza sul sistema e monitorare il dispositivo della vittima, fornendo in tal modo agli attaccanti l’accesso alla macchina compromessa.
Tale campagna risulterebbe inoltre identica a quella già individuata dal CERT-AGID nello scorso mese di luglio.
Phishing a tema DIKE: il corpo del messaggio
In particolare, il messaggio di posta elettronica avente per oggetto Aggiornamento critico Dike sembrerebbe provenire dallo staff di Infocert (comunicazioni@infocert.it) e inviterebbe l’utente a effettuare un aggiornamento critico per la sicurezza del programma Dike, seguendo le indicazioni riportate sul documento in allegato Dike-Infocert-Upgrade.
Il testo del messaggio, scritto in italiano corretto, recita:
Gentile cliente,
ti informiamo che è necessario effettuare un aggiornamento critico sulla sicurezza del programma Dike.
Segui le indicazioni riportate nel documento pdf allegato.
Grazie per la collaborazione.
Lo Staff Infocert
Misure di mitigazione consigliate
Secondo gli esperti del CERT-AGID, il software potrebbe comunque essere disinstallato tramite le normali funzionalità di Windows e la campagna risulterebbe principalmente indirizzata verso domini della PA.
La minaccia, però, potrebbe facilmente espandersi e prendere di mira anche utente private e aziendali, visto il diffuso utilizzo del software Dike.
L’esortazione per tutti gli utenti e le organizzazioni è quindi quella di verificare sempre e scrupolosamente le e-mail ricevute attivando ulteriori misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing;
- diffidare dalle comunicazioni inattese, prestando sempre attenzione agli URL che si intende visitare;
- valutare l’implementazione sui propri apparati di sicurezza degli indicatori di compromissione (IoC) pubblicati dall’alert del CERT-AGID.