Il CERT-AGID ha rilevato una campagna di diffusione del malware Adwind rivolta specificamente a Italia, Spagna e Portogallo. Il vettore d’infezione è un’email con allegato PDF (es. Documento.pdf o Fattura.pdf) contenente un link a servizi cloud come OneDrive o Dropbox. Da lì viene scaricato un file VBS o HTML con codice offuscato.
Il file HTML verifica la lingua del browser per evitare sistemi non target (escludendo inglese e russo). Se la lingua è compatibile, viene scaricato un archivio ZIP contenente un ambiente Java e un file JAR camuffato da immagine PNG, eseguito tramite script CMD.
Il malware, progettato per sistemi Windows, è riconducibile ad Adwind grazie alla struttura del codice e alla configurazione cifrata. CERT-AGID ha condiviso gli indicatori di compromissione con le PA accreditate
Fonte: cert-agid.gov.it