Una nuova ondata di phishing sta colpendo gli utenti italiani con un trucco tanto semplice quanto efficace, le finte fatture inviate via email. Da febbraio è attiva una campagna che sfrutta documenti contraffatti per piazzare un malware piuttosto pericoloso sui computer delle vittime, un programma capace di prendere il controllo da remoto e aprire la strada anche al ransomware.
Il bersaglio è chiaramente il pubblico italiano. Tutto comincia con un messaggio scritto in italiano, costruito per sembrare credibile, che invita ad aprire un allegato presentato come una fattura. Peccato che quel file non sia affatto un documento contabile, ma un file HTML che, una volta cliccato, apre nel browser una pagina di phishing. Lì compare un pulsante con la scritta Scarica file, l’esca pensata per far abboccare chi pensa di star recuperando una semplice fattura in PDF.
Come funziona la catena di infezione
Qui le cose si fanno interessanti, perché il comportamento cambia a seconda del dispositivo. Su tutto ciò che non è Windows viene scaricato un innocuo documento PDF ospitato su Google Drive, niente di che. Ma su Windows la musica cambia, parte il download di un archivio ZIP che nasconde al suo interno un file JavaScript. Ed è lì che si innesca il vero problema.
Una volta eseguito quel file, si avvia una sequenza di comandi PowerShell che fanno parecchi danni dietro le quinte. Disattivano Microsoft Defender, controllano che sul sistema non ci siano strumenti di analisi in funzione e poi caricano in memoria un componente chiamato UpCrypter. Si tratta di un loader, in pratica un programma il cui unico scopo è scaricare ed eseguire il malware vero e proprio.
E qui entra in scena NeptuneRAT, il protagonista poco simpatico di questa storia. Un Remote Access Trojan che apre una connessione verso un server di comando e controllo, quel C2 da cui i criminali informatici possono mettere le mani sul computer della vittima come se ci fossero seduti davanti.
Cosa può fare NeptuneRAT
Le capacità di questo malware sono note da tempo, e non sono affatto rassicuranti. Raccoglie informazioni sul dispositivo, ruba dati da oltre 270 applicazioni diverse, tra password, email e chissà cos’altro. Non solo, va a sostituire gli indirizzi dei wallet di criptovalute con quelli dei criminali, una mossa subdola pensata per dirottare i pagamenti senza che l’utente se ne accorga.
Ma c’è dell’altro. NeptuneRAT permette di monitorare da remoto il desktop, di installare ransomware e perfino di compiere azioni distruttive vere e proprie. Una di queste è la modifica del Master Boot Record, un intervento che lascia poco scampo, perché a quel punto all’utente non resta che reinstallare da zero il sistema operativo.
La campagna è stata individuata e documentata dai ricercatori di D3Lab, che hanno ricostruito l’intera catena di infezione. Il consiglio di base rimane sempre lo stesso, una buona dose di diffidenza verso allegati inattesi, soprattutto quando arrivano sotto forma di fatture che nessuno aspettava.