· minacce · strumenti

Fatture, ZIP con password e infostealer: perché l’Italia resta nel mirino (e cosa fare in azienda)

Infostealer_CyberQuake

Negli ultimi anni abbiamo osservato campagne mirate all’Italia che usano email a tema “Fattura/Invoice” per distribuire infostealer—malware progettati per rubare credenziali, cookie di sessione, dati dai browser e portafogli crypto. Una campagna documentata nel 2023 iniziava da un’email con link a uno ZIP protetto da password contenente LNK/BAT: eseguendoli, una catena di MSHTA→PowerShell scaricava componenti da GitHub e installava lo stealer sul sistema della vittima.

Perché è un tema ancora attuale

Il trucco della “fattura scaduta” non è nuovo—ed è tutt’altro che finito. Nel 2024, il CERT-AgID ha analizzato una campagna Formbook in italiano corretto, con allegato 7Z che estraeva VBS → loader .NET → payload infostealer: stesso pattern di social engineering (urgenza di pagamento) e catena multilivello fino all’esecuzione del malware.

In parallelo, gli attori abusano spesso di repository e servizi legittimi (es. GitHub) per ospitare dropper o pagine di phishing, aumentando la “mimetizzazione” del traffico e la difficoltà di blocco lato proxy. Il CERT-AgID ha segnalato più volte phishing/host su GitHub che esfiltrano credenziali verso bot Telegram o backend controllati dagli attori.

Il CSIRT Italia/ACN continua a pubblicare avvisi su malspam che distribuisce infostealer e famiglie come Lokibot/Formbook, spesso proprio con oggetti email legati a “invio fattura”, a conferma della persistenza del vettore in Italia anche nel 2025.

Infine, i riepiloghi settimanali del CERT-AgID mostrano con regolarità decine di campagne malevole attive, molte mirate specificamente al nostro paese, con centinaia di IoC condivisi agli enti accreditati: è un problema strutturale, non episodico.

TTP da monitorare

  • Email lure a tema amministrativo/contabile (fatture, solleciti, note di credito).
  • Allegati/password: archivi compressi (ZIP/7Z) protetti da password comunicata nel corpo dell’email.
  • Shortcut & script: .LNK / .BAT / .VBS per avviare la catena d’infezione.
  • Living-off-the-land: uso di mshta.exe e powershell.exe per scaricare/eseguire payload in memoria; componenti ospitati su GitHub/servizi legittimi.

Impatti tipici

  • Furto di cookie di sessione, password salvate e token (accessi SSO, posta, SaaS);
  • Esfiltrazione di dati browser (autofill, carte), crypto-wallet locali;
  • Persistenza via Run keys/Startup e dropper ulteriori per movimenti laterali.

Cosa implementare (priorità per PMI italiane)

1) Email security e hardening endpoint

  • Blocca/flagga allegati ad alto rischio da internet: .lnk, .bat, .vbs, .hta (policy su Secure Email Gateway + Defender/EDR).
  • Applica ASR rules/WDAC/AppLocker per mshta.exe e powershell.exe (limitazioni, Constrained Language Mode, AMSI logging).
  • URL detonation e sandbox per link in email; ispezione dei password-protected archives con detonation su payload estratti.
  • Proxy/Firewall: ispezione TLS e reputation anche per domain legittimi (es. GitHub raw) in contesti anomali.

2) Protezione identità e sessioni

  • MFA phishing-resistant (FIDO2) sugli account critici;
  • Session isolation e revoca forzata dopo incidenti (i cookie rubati bypassano la password);
  • Password manager aziendale, rotazione segreti, segreti in vault, no credenziali salvate nel browser.

3) Threat intel e risposta

  • Ingerisci IoC da CERT-AgID/CSIRT e vendor nel SIEM con regole di scadenza;
  • Crea playbook SOAR/IR per infostealer: isolamento host, revoca sessioni O365/Google, reset credenziali, invalidate refresh tokens, rotazione API keys;
  • Backup frequenti verificati (restore test), con immutabilità.

4) Formazione e simulazioni

  • Awareness mirata su “falsa fattura” e PEC: riconoscere indicatori (archivi con password, inviti a sbloccare fatture, link corti).
  • Phishing simulation periodiche con report a management e remediation puntuale.

Come può aiutarti CyberQuake

  • Assessment & hardening: revisione Secure Email Gateway, ASR/EDR, controllo eseguibili script-based, policy per archivi protetti.
  • Threat-intel ops: pipeline di IoC ingest (CERT-AgID/CSIRT + feed commerciali), correlazione su SIEM, alert “actionable”.
  • Incident Response (retainer): triage infostealer, revoca token/sedute, containment host, forensics, guida alla notifica GDPR se necessaria.
  • Formazione & simulazioni: campagne phishing a tema fattura/PEC, micro-learning e KPI per funzione aziendale.
  • Continuous Testing: mini-PT e email-borne threat emulation per verificare davvero le difese.

PROTEGGITI - METTITI IN CONTATTO

Fonti

  • The Hacker News – campagna infostealer con ZIP protetto, LNK/BAT, download da GitHub; dati esfiltrati (browser/crypto). The Hacker News
  • Uptycs Threat Research – catena tecnica MSHTA→PowerShell, dropper, persistenza e IoC. uptycs.com
  • CERT-AgID – campagna Formbook in italiano a tema fatture (2024). CERT-AGID
  • CERT-AgID – abuso di GitHub in campagne phishing/credential-theft. CERT-AGID
  • CSIRT/ACN – avvisi su infostealer/malspam e “invio fattura” (trend continuativo, 2025). acn.gov.it+1
  • CERT-AgID – riepilogo settimanale con volumi campagne e IoC condivisi (2025). CERT-AGID

// incident response

Sotto attacco? Agisci ora.

Il CSIRT risponde 24/7: contenimento, analisi e ripristino, a partire dalla prima chiamata.

sono_stato_hackerato

csirt 24/7 --> +39 376 25 89 182