Nel panorama della cybersecurity, una nuova campagna di phishing sta prendendo di mira utenti di lingua portoghese in Brasile attraverso l’abuso di software RMM (Remote Monitoring and Management) legittimi in versione di prova. A partire da gennaio 2025, ricercatori di sicurezza hanno osservato l’utilizzo di email di spam costruite attorno al sistema brasiliano di fatturazione elettronica NF-e per indurre gli utenti a cliccare su link malevoli ospitati su Dropbox. Questi link reindirizzano a file di installazione di software RMM come N-able RMM Remote Access e PDQ Connect, permettendo così agli attaccanti di accedere e manipolare file da remoto sul sistema della vittima.

L’attacco: tecniche e vettori

L’attacco inizia tipicamente con email apparentemente provenienti da istituzioni finanziarie o operatori telefonici, che avvisano di fatture scadute o pagamenti inevasi. Il destinatario, spinto dall’urgenza, è portato a cliccare su un link Dropbox che scarica il software RMM. Una volta installato, i cybercriminali sfruttano le funzionalità di accesso remoto per scaricare ulteriori strumenti, come ScreenConnect, aumentando così il controllo e la persistenza sul dispositivo compromesso.

Target e modalità d’azione

Questa campagna si rivolge in modo particolare a dirigenti di alto livello e responsabili delle aree finanziarie e risorse umane di aziende di diversi settori, incluse organizzazioni educative e governative. Gli attori della minaccia, identificati come Initial Access Broker (IAB), sfruttano i periodi di prova gratuiti dei software RMM per ottenere accesso non autorizzato, riducendo così i costi operativi delle proprie attività malevole e beneficiando di strumenti digitalmente firmati, spesso poco sospetti agli occhi dei sistemi di difesa.

Evoluzione delle campagne di phishing

Questo trend si inserisce in un panorama più ampio di campagne di phishing sempre più sofisticate, che includono l’uso di servizi di condivisione file legittimi come GetShared, documenti Word vulnerabili, link malevoli nascosti in allegati PDF e tecniche avanzate come JavaScript offuscato in file SVG o l’utilizzo di servizi di tunneling come TryCloudflare per diffondere malware come AsyncRAT. Inoltre, sono stati osservati attacchi rivolti a utenti in Messico, Costa Rica, Polonia, Spagna, Italia e Portogallo, con lo scopo di sottrarre credenziali, diffondere trojan bancari o installare RAT per il controllo remoto.

Raccomandazioni per la difesa

Nonostante i progressi delle soluzioni di sicurezza per email e endpoint, molte di queste campagne continuano ad avere successo, raggiungendo la casella di posta degli utenti e sfruttando la fiducia nei software firmati o nei servizi noti. È fondamentale per le aziende rafforzare la consapevolezza dei dipendenti e adottare strategie di difesa multilivello per prevenire accessi non autorizzati e la diffusione di malware.