Esca più comuni utilizzate nell’ingegneria sociale per l’implementazione di strumenti di monitoraggio e gestione remota finalizzati all’accesso iniziale

10 ottobre 2025

A cura del Mimecast Threat Research Team

Panoramica della campagna

Il team di ricerca sulle minacce di Mimecast continua a osservare come gli autori delle minacce stiano abbandonando sempre più spesso i tradizionali allegati e-mail contenenti malware, preferendo invece strumenti legittimi di monitoraggio e gestione remota (RMM) per ottenere l’accesso iniziale. Questo cambiamento strategico consente agli autori degli attacchi di aggirare numerosi controlli di sicurezza, poiché il software RMM è comunemente utilizzato dai team IT e spesso inserito nella lista bianca negli ambienti aziendali.

Le campagne mettono in evidenza sofisticate tecniche di ingegneria sociale volte a indurre gli utenti a installare volontariamente gli agenti RMM. Tali operazioni ricorrono a diverse esche, che vanno dalle finte ricevute di pagamento distribuite tramite Evernote agli inviti fraudolenti a riunioni su Zoom. Di seguito sono riportate alcune delle campagne che abbiamo osservato negli ultimi mesi e che sono state utilizzate per scaricare una serie di strumenti RMM.

Incentivo finanziario

In questa campagna viene utilizzata un’e-mail contraffatta contenente un avviso di bonifico e una conferma di pagamento per indurre i destinatari a scaricare file dannosi. Tali campagne si spacciano per comunicazioni finanziarie legittime, sostenendo che i pagamenti siano stati effettuati tramite bonifico bancario e invitando gli utenti a scaricare le ricevute di pagamento "" tramite servizi di condivisione file come EverNote.

Le esche sfruttano scenari aziendali urgenti legati alle transazioni finanziarie, approfittando della natura routinaria delle comunicazioni relative all’elaborazione dei pagamenti che i dipendenti gestiscono regolarmente.

Ai destinatari vengono inviati allegati PDF apparentemente legittimi contenenti documentazione relativa ai pagamenti, ma cliccando su tali link si finisce per scaricare uno strumento RMM anziché i documenti finanziari effettivi. Questo approccio di ingegneria sociale sfrutta la fiducia e il senso di urgenza tipicamente associati alle conferme delle transazioni finanziarie, rendendo gli utenti più inclini a interagire con i contenuti dannosi.

 

 
​Esca per la violazione del diritto d'autore

Gli autori delle minacce stanno sfruttando false notifiche di violazione del diritto d'autore, spacciandosi per prestigiosi studi legali, al fine di indurre i destinatari a scaricare contenuti dannosi. Tali campagne sostengono che sia necessario intraprendere con urgenza un’azione legale in merito alle violazioni relative al materiale protetto da copyright e invitano gli utenti a visitare il sito "tramite i link sicuri" per consultare i rapporti completi ed evitare sanzioni. Queste e-mail sfruttano il timore delle conseguenze legali e della responsabilità finanziaria, rendendo i destinatari più propensi a cliccare sui link nella convinzione di dover rispondere immediatamente a reclami legittimi in materia di diritti d’autore.

Anziché accedere a documenti legali effettivi, le vittime vengono reindirizzate a scaricare uno strumento RMM che garantisce agli autori degli attacchi un accesso remoto persistente ai sistemi compromessi. Questo approccio di ingegneria sociale combina l’autorevolezza e l’urgenza delle minacce legali con la legittimità percepita del marchio di uno studio legale affermato, al fine di massimizzare il coinvolgimento delle vittime.

Tentativo di frode tramite firma elettronica
​
​Gli autori delle minaccestanno sfruttando i flussi di lavoro relativi alle firme elettroniche inviando falsi inviti alla firma di documenti che si spacciano per piattaforme legittime di firma elettronica come Authentisign. Queste campagne si rivolgono ai destinatari con richieste urgenti di firmare documenti aziendali, quali accordi di distribuzione o accordi di cessione, sfruttando la natura di routine dell’elaborazione elettronica dei documenti nelle moderne operazioni aziendali. I destinatari che cliccano sui pulsanti “ "” e “START SIGNING”" vengono reindirizzati a pagine web dannose che presentano finte pagine di verifica CAPTCHA, progettate per eludere gli scanner di sicurezza automatici e creare un falso senso di legittimità.

L'implementazione del CAPTCHA funge da misura di offuscamento, bloccando i browser headless e gli strumenti di sicurezza e disabilitando al contempo le funzionalità di ispezione, per poi reindirizzare gli utenti a scaricare strumenti RMM anziché consentire loro di accedere alle piattaforme di firma effettive. Questo approccio di ingegneria sociale a più livelli sfrutta la fiducia e la natura urgente dei processi di firma dei contratti, implementando al contempo misure avanzate di anti-analisi per aggirare i controlli di sicurezza.

Invitazione a una riunione su Zoom

Gli autori delle minacce si spacciano per organizzatori legittimi di riunioni inviando inviti fraudolenti a riunioni su Zoom che sembrano provenire da colleghi o contatti di lavoro. Queste campagne sfruttano la diffusione capillare delle videoconferenze nelle comunicazioni aziendali moderne, ricorrendo a nomi noti e a link per le riunioni su Zoom dall’aspetto ufficiale per conquistare la fiducia dei destinatari. Gli inviti falsi includono le opzioni “ "” e “Accetta/Rifiuta”" che imitano le funzionalità legittime di integrazione con il calendario, incoraggiando l’utente a interagire immediatamente senza effettuare alcuna verifica. Le vittime che cliccano su questi link vengono reindirizzate a siti dannosi che scaricano strumenti RMM, fornendo agli autori degli attacchi un accesso remoto persistente ai sistemi compromessi. Questo approccio di ingegneria sociale sfrutta il carattere abituale e affidabile degli inviti alle riunioni, rendendo i dipendenti meno propensi a esaminare con attenzione i link che percepiscono come normali comunicazioni aziendali.

Trappola sotto forma di falso avviso di sicurezza ScreenConnect

In questa campagna, gli autori delle minacce hanno preso di mira gli amministratori IT e i fornitori di servizi gestiti con sofisticati avvisi di accesso falsi relativi a ScreenConnect, in cui si segnalava un accesso non autorizzato da indirizzi IP sospetti. Tali campagne si spacciano per notifiche di sicurezza legittime di ScreenConnect, mostrando informazioni dettagliate sull’account, tra cui domini specifici, account utente e ubicazioni geografiche, al fine di acquisire credibilità presso il personale tecnico. Queste esche sfruttano la maggiore consapevolezza in materia di sicurezza dei professionisti IT, presentando scenari urgenti che richiedono un'immediata revisione della sicurezza "" , azioni alle quali gli amministratori darebbero naturalmente la priorità. Anziché accedere alle vere e proprie dashboard di sicurezza di ScreenConnect, le vittime che cliccano sui link "Review Security" vengono reindirizzate a pagine di raccolta delle credenziali progettate per sottrarre le credenziali di superamministratore. Questo approccio di ingegneria sociale mira specificatamente ai privilegi elevati degli amministratori IT, fornendo potenzialmente agli autori degli attacchi un ampio accesso a molteplici ambienti client gestiti.

Esca sotto forma di notifica relativa alla condivisione di documenti falsi

Gli autori delle minacce si spacciano per piattaforme legittime di condivisione di documenti inviando false notifiche di condivisione di file che sembrano provenire da colleghi o figure di riferimento all’interno delle organizzazioni. Queste campagne sfruttano nomi affidabili come ", il vice capo di gabinetto" e titoli di documenti dall’aspetto ufficiale quali "ADVANCE NOTICE .docx" per creare un senso di urgenza e una percezione di legittimità tra i destinatari. Le e-mail ingannevoli contengono avvertenze relative a mittenti esterni e sollecitazioni a "a esaminare tempestivamente il documento," imitando le autentiche notifiche di sicurezza provenienti da piattaforme quali Google Drive o SharePoint, al fine di ridurre i sospetti. Anziché accedere ai documenti condivisi effettivi, le vittime che fanno clic sui pulsanti “ "” (Apri) o “" ” (Apri) vengono reindirizzate a siti dannosi che scaricano strumenti RMM, fornendo agli autori degli attacchi un accesso remoto persistente ai sistemi compromessi.

Queste applicazioni legittime offrono funzionalità di controllo remoto persistente pur presentandosi come software aziendale autorizzato, rendendo il loro rilevamento notevolmente più difficile rispetto alle tradizionali distribuzioni di malware. Le ricerche di settore indicano che questa tendenza riflette la crescente efficacia delle soluzioni di sicurezza della posta elettronica nell’individuare il malware tradizionale, costringendo gli autori delle minacce ad adottare strategie più sofisticate di abuso di strumenti legittimi. Questo cambiamento rappresenta una svolta fondamentale nella metodologia di attacco, che passa dall’impiego di codice dannoso allo sfruttamento di software affidabile già esistente per scopi malevoli.

Protezione Mimecast

Le funzionalità avanzate di rilevamento delle minacce di Mimecast hanno individuato e bloccato con successo tali campagne grazie a diversi livelli di protezione.

IOC rilevati

URL di download

• hxxp://dl[.]dropbox[.]com/scl/fi/y8nwd9911fen2xlgm7ogi/Invoice_00299[.]zip?rlkey=pq8f9ui5fdxxg1bzvv4h8bd3v&st=m9m3youl&dl=0
• hxxps://store8[.]gofile[.]io/download/direct/7f0d3fca-f5d5-432b-a9ca-34b6a936f608/IntuitproPlugin3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/9f5a47f8-cb82-4955-b4dc-6d4dd480512b/IntuitPluginCore3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/b9f9f024-93fa-43db-8567-7aef21436c4b/IntuitPluginCore3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/42c735a7-0a8e-444e-8d55-252cb384557d/IntuitPluginCore3[.]0[.]exe
• hxxps://file-eu-par-2[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
• hxxps://store8[.]gofile[.]io/download/direct/75309ae0-a457-4a96-9f63-1b969945e7ac/IntuitPluggin3[.]0[.]exe
• hxxps://bitbucket[.]org/thanksforusingourwebsite/serv/downloads/Statement-415322025[.]exe
• hxxps://podcast[.]zozaljubali[.]com/Remittance%20Advice_pdf[.]exe

Link relativi all'hosting

• hxxps://sptr[.]eomail6[.]com/f/a/
• hxxps://skyexchange[.]win/wp-scripts/dee54[.]php
• fn3699[.]kafinora[.]cyou
• fnback9636[.]site
• hxxps://docs[.]google[.]com/document/d/15zYZoGTgMCreSji6V4KJntdP0ZM0b3

Raccomandazioni

Gestione della sicurezza RMM:

• Definire le politiche relative agli strumenti RMM approvati e mantenere elenchi rigorosi dei software di accesso remoto autorizzati
• Introdurre ulteriori requisiti di autenticazione per l’installazione degli strumenti RMM, richiedendo l’approvazione del reparto IT prima della distribuzione
• Monitorare il traffico di rete per individuare eventuali comunicazioni RMM non autorizzate e definire i valori di riferimento relativi ai modelli di utilizzo legittimo dell’RMM
• Per gli MSP, implementare istanze RMM separate con accesso limitato tra i clienti e monitoraggio avanzato dell'utilizzo degli account di superamministratore

Sensibilizzazione degli utenti in materia di sicurezza:

• Informare gli utenti del personale in merito all’uso aziendale legittimo degli strumenti RMM, sottolineando al contempo la necessità di ottenere l’approvazione del reparto IT prima dell’installazione
• Effettuare simulazioni che includano richieste di installazione di RMM camuffate da richieste di assistenza informatica o da comunicazioni aziendali
• Si raccomanda di prestare particolare attenzione alla verifica delle comunicazioni tramite i canali ufficiali, in particolare quelle che richiedono il download di software

Le organizzazioni dovrebbero procedere immediatamente a una verifica delle implementazioni RMM esistenti e attuare un monitoraggio rafforzato di questi strumenti legittimi utilizzati a fini malevoli, poiché il tradizionale sistema di rilevamento basato sulle firme potrebbe non individuare tale modello di abuso.