Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
CERT-UA Falso, Malware AGEWHEEZE: email trappola colpiscono enti e aziende con ZIP “ufficiali” protetti da password
Una nuova campagna di phishing ha sfruttato la falsificazione dell’identità di CERT-UA per distribuire un malware chiamato AGEWHEEZE tramite email su larga scala. Gli attaccanti hanno inviato messaggi tra il 26 e il 27 marzo 2026 spacciandosi per l’agenzia di risposta agli incidenti informatici ucraina e invitando i destinatari a installare un presunto software specializzato di protezione.
Il contenuto malevolo veniva fornito sotto forma di archivio ZIP protetto da password, ospitato su un servizio di file hosting, con un nome che richiamava direttamente strumenti ufficiali.
I bersagli includevano organizzazioni statali, centri medici, aziende di sicurezza, istituti educativi, realtà finanziarie e società di sviluppo software. In alcuni casi le email risultavano inviate da un dominio creato ad hoc per rendere credibile la comunicazione, una tecnica tipica delle campagne di impersonificazione. Questo tipo di phishing punta a superare la diffidenza degli utenti facendo leva sull’autorevolezza di un ente noto, aumentando la probabilità di apertura dell’allegato e di esecuzione del contenuto.
Caratteristiche del malware AGEWHEEZE
AGEWHEEZE viene descritto come un remote access trojan (RAT) sviluppato in Go, progettato per garantire controllo remoto sui sistemi Windows compromessi. Il malware comunica con un server esterno tramite WebSockets e supporta comandi per eseguire istruzioni, gestire file, modificare appunti, emulare mouse e tastiera, catturare screenshot e amministrare processi e servizi.
Persistenza e rimozione
Per mantenere la persistenza, può:
- Creare attività pianificate
- Modificare il registro di Windows
- Aggiungersi alla cartella di avvio automatico
Queste tecniche rendono più complessa la rimozione e aumentano la probabilità che il controllo remoto resti attivo nel tempo.
Impatto della campagna e uso di AI
Nonostante la portata dichiarata della distribuzione, la campagna sembra aver avuto un impatto limitato, con poche infezioni rilevate su dispositivi personali di dipendenti in ambito educativo. Un ulteriore elemento interessante riguarda il sito esca utilizzato nella catena di attacco, che secondo le analisi sarebbe stato generato con supporto di strumenti di intelligenza artificiale: un segnale dell’uso crescente di AI per velocizzare la creazione di pagine credibili e testi persuasivi.
In parallelo, gli attori hanno diffuso affermazioni sull’invio di un milione di email e su un numero elevato di compromissioni: numeri non coerenti con le evidenze operative disponibili, ma utili come propaganda per rafforzare reputazione e pressione psicologica.