I ricercatori di D3Lab hanno descritto una campagna di phishing attiva in Italia dal mese di febbraio. Ignoti cybercriminali inviano un file HTML via email che porta le ignare vittime su un sito, dal quale è possibile scaricare una presunta fattura. Lo scopo finale è distribuire NeptuneRAT, un malware che permette l’accesso remoto e l’installazione di ransomware.
Descrizione della catena di infezione
La campagna di phishing è chiaramente indirizzata all’Italia. L’email scritta in italiano invita il destinatario a consultare il documento allegato che dovrebbe essere una fattura. In realtà è un file HTML che apre la pagina di phishing nel browser. Per scaricare la fattura in PDF deve essere cliccato sul pulsante Scarica file.
Sui dispositivi non Windows viene scaricato un generico documento PDF ospitato su Google Drive. Sui dispositivi Windows viene invece scaricato un archivio ZIP. Contiene un file JavaScript che, se eseguito, avvia la catena di infezione. Dopo una serie di comandi PowerShell, che disattivano Microsoft Defender e verificano la presenza dei tool di analisi, viene caricato in memoria UpCrypter.
Si tratta di un loader che scarica ed esegue NeptuneRAT. Il Remote Access Trojan stabilisce una connessione al server C2 (command and control), dal quale i cybercriminali possono accedere al computer dell’ignara vittima. I ricercatori di D3Lab non descrivono il suo funzionamento, in quanto noto da tempo.
NeptuneRAT raccoglie informazioni sul dispositivo, esfiltra dati da oltre 270 applicazioni (password, email e altro) e sostituisce gli indirizzi dei wallet con quello dei cybercriminali. Permette anche il monitoraggio remoto del desktop e l’installazione di ransomware. Può infine eseguire azioni distruttive, come la modifica del Master Boot Record (quindi l’utente deve reinstallare il sistema operativo).
Ti potrebbe interessare
18 giu 2026