Nuova e pesantissima ondata di phishing in Italia, e questa volta i cybercriminali hanno preso di mira uno dei canali considerati più sicuri: la PEC (Posta Elettronica Certificata).
L'Agenzia delle Entrate ha infatti lanciato un allarme urgente riguardo a una campagna malware particolarmente insidiosa che sfrutta la fiducia degli utenti verso i messaggi certificati per infettare i sistemi operativi Windows.
Vediamo nei dettagli come funziona l'attacco e perché è tecnicamente così pericoloso.
La trappola: PEC reali e script PowerShell
A differenza delle classiche email di phishing piene di errori grammaticali e provenienti da domini improbabili, questa campagna si distingue per un livello di sofisticazione decisamente più elevato:
Caselle PEC compromesse: I messaggi non vengono inviati da server spoofati, ma da vere caselle PEC violate. Questo permette all'email di superare indenne i controlli di sicurezza dei provider e di mostrare la spunta di certificazione, azzerando i sospetti della vittima.
L'esca dell'allegato HTML: La mail invita a controllare una presunta fattura fiscale. In allegato c'è un archivio compresso (come un file .zip) che contiene al suo interno un file HTML.
Il bersaglio è solo Windows
La particolarità tecnica di questa campagna risiede nel comportamento del file HTML, programmato per colpire in modo selettivo:
Il controllo del sistema operativo: Se il file viene aperto su dispositivi macOS, Linux, Android o iOS, non succede nulla (mostra un semplice errore). Se invece rileva che la vittima sta utilizzando Windows, si attiva.
Il reindirizzamento invisibile: L'HTML mostra un pulsante per scaricare la fattura. Al clic, l'utente viene reindirizzato in background verso un server malevolo gestito dai criminali.
L'esecuzione del codice: Viene avviato il download automatico e l'esecuzione di script PowerShell. Una volta avviati, questi script permettono agli attaccanti di eseguire codice da remoto, scaricare ulteriori malware e prendere il controllo completo della macchina Windows.
Nota tecnica: L'uso di PowerShell combinato con file HTML è una tecnica d'attacco definita Living off the Land (LotL), poiché sfrutta strumenti legittimi già presenti nel sistema operativo Windows per aggirare i software antivirus tradizionali.
Come difendersi: le linee guida dell'Agenzia delle Entrate
L'Agenzia delle Entrate ricorda che non invia mai comunicazioni di questo tipo contenenti link o allegati HTML da scaricare. Per evitare di cadere nel tranello, valgono le buone pratiche di sicurezza digitale:
Non fidarsi ciecamente della PEC: Anche se il canale è sicuro, l'identità del mittente potrebbe essere stata rubata.
Attenzione agli allegati anomali: Le fatture elettroniche reali arrivano in formato .xml o .p7m (o .pdf di cortesia), mai all'interno di file .html nascosti in archivi .zip.
Bloccare le esecuzioni sospette: È sempre una buona idea configurare il sistema o i criteri di sicurezza per limitare l'esecuzione non autorizzata di script PowerShell non firmati.
In caso di dubbi su una notifica fiscale, il consiglio è sempre lo stesso: non cliccare su nulla, chiudere la mail e verificare la propria posizione direttamente dal portale ufficiale dell'Agenzia delle Entrate accedendo al proprio cassetto fiscale.