Gli inviti alle feste natalizie offrono strumenti di accesso remoto

5 dicembre 2025

Di Hiwot Mendahun, Ankit Gupta e il team di ricerca sulle minacce di Mimecast

Punti principali

Gli autori delle minacce stanno approfittando del periodo delle festività natalizie spacciandosi per servizi legittimi di inviti a feste, come Punchbowl, per distribuire strumenti di monitoraggio e gestione remota (RMM)
Rivolto alle aziende statunitensi operanti prevalentemente nei settori della finanza, dei servizi professionali (contabilità, consulenza legale) e immobiliare
I link contenuti in questi inviti fasulli reindirizzano gli utenti tramite Google Sites e HubSpot al download del software client ScreenConnect RMM

Panoramica della campagna

Il team Mimecast Threat Research ha individuato una campagna ancora in corso che sfrutta il periodo delle festività natalizie per diffondere strumenti di accesso remoto camuffati da inviti a feste natalizie; sono stati individuati oltre 2.300 domini presi di mira, principalmente negli Stati Uniti, con una notevole concentrazione in Australia. Questa tecnica si basa su schemi consolidati di contraffazione di servizi di inviti legittimi, quali Evite e Punchbowl, al fine di diffondere sia pagine di phishing volte al furto di credenziali sia malware. La campagna attuale rappresenta un’evoluzione di questa strategia, mirata in particolare al crescente volume di comunicazioni relative agli eventi aziendali legati alle festività.

Flusso dell'attacco

L'attacco ha inizio con l'invio di e-mail da Business Email accounts legittimi ma compromessi, il che conferisce immediata credibilità al messaggio. Questi account compromessi appartengono spesso a fornitori di servizi di terze parti di fiducia, quali studi contabili, studi legali o consulenti aziendali. I destinatari ricevono quello che sembra essere un invito autentico a una festa o a un evento festivo. L'e-mail contiene un link che, a quanto pare, fornisce i dettagli dell'evento o le opzioni per confermare la propria partecipazione.

Quando si fa clic sul link, si avvia una catena di reindirizzamenti a più fasi studiata per eludere il rilevamento. In alcune campagne si osserva che gli utenti vengono reindirizzati tramite Google Sites o il servizio di coinvolgimento di HubSpot, il che rende ancora più difficile individuare la destinazione dannosa. In altre campagne vediamo una pagina di destinazione che invita l'utente a cliccare sul pulsante “Scarica file”, il quale avvierà il download. Le pagine di destinazione finali ospitano i programmi di installazione del client ScreenConnect RMM, camuffati da file scaricabili contenenti inviti a feste.

Festa natalizia 2.png

Festa natalizia 3.png

Festa natalizia 4.png

Perché gli strumenti RMM sono pericolosi

A differenza del malware tradizionale, ScreenConnect è uno strumento legittimo di amministrazione remota utilizzato dai professionisti IT per la gestione dei sistemi. Tuttavia, quando viene impiegato da soggetti malintenzionati, garantisce un accesso remoto persistente che spesso risulta inoffensivo agli occhi degli strumenti di sicurezza, in particolare nelle organizzazioni di medie dimensioni (500-5.000 dipendenti) che spesso non dispongono di capacità di rilevamento di livello aziendale. Una volta installato, gli autori degli attacchi possono:

Eseguire comandi con privilegi di amministratore
Estrarre dati sensibili, tra cui credenziali, informazioni finanziarie e proprietà intellettuale
Diffondere ulteriori malware o ransomware
Spostarsi lateralmente all’interno della rete per compromettere ulteriori sistemi
Garantire l'accesso a lungo termine in vista di futuri attacchi
Sfruttare i rapporti di fiducia con i fornitori per infiltrarsi nelle organizzazioni dei clienti, consentendo così di compromettere la catena di approvvigionamento

Protezione Mimecast

Mimecast offre diversi livelli di difesa contro questi attacchi di ingegneria sociale legati alle festività:

Indicatori di compromissione

Nomi dei file:

Invito_di_Natale_da_Bluewep
ScreenConnect.ClientSetup
CHRISTMAS_BUNDLE_AGENT_468181_V10_14_4_RW.MSI

Hash dei file (SHA256):

FE5AA50D5DED1FF44138D6125188F531EF9DF1FCB64374EEB90A33E95941585C
5E3DEA219DD75763719D82DE99136318F0D224608EC310E5372010EFF6FF0D67
ee5b6da2a0a0ce53dd8a2542fd68aadf99920746bec57805b95447482c524916

URL:

hxxp://sites.google.com/view/party-invite-download-e-card/home
dxmc1w04.na2.hs-service-engage[.]com
hxxps://rac[.]am/MINE
hxxps://stashie-co[.]com/

Obiettivi

Aziende di medie dimensioni (500-5.000 dipendenti) negli Stati Uniti (83% tra le aziende prese in esame) e in Australia (4%), operanti prevalentemente nei settori della finanza, dei servizi professionali (contabilità, consulenza legale), immobiliare/mutui, sanitario e pubblico

Raccomandazioni

Sensibilizzazione degli utenti in materia di sicurezza

Informare gli utenti. Ricordare ai dipendenti di verificare gli inviti a eventi inaspettati tramite canali secondari, soprattutto quando contengono link per il download. Si sottolinea che gli inviti ufficiali a eventi aziendali non richiedono, di norma, il download di alcun software. Le organizzazioni dovrebbero prestare particolare attenzione nei periodi di fine anno, quando il volume delle transazioni finanziarie aumenta e il personale potrebbe essere ridotto

Ricerca proattiva delle minacce

Analisi dei log degli URL: cercare nei log degli URL gli indicatori tecnici associati a queste campagne
Attuare un sistema di monitoraggio incentrato sui clienti con rapporti commerciali esterni, in particolare quelli che operano nei settori della consulenza contabile, legale e finanziaria, che sono oggetto di attacchi in misura sproporzionata

Gestione dell'implementazione dello strumento RMM

Stabilire politiche relative alle liste di applicazioni consentite per impedire l’installazione non autorizzata di strumenti di accesso remoto
Qualora si utilizzino ScreenConnect o strumenti RMM simili in modo legittimo, si assicuri che solo le versioni approvate dal reparto IT possano essere distribuite tramite canali controllati