Attenzione: Nuova Campagna Phishing a Tema “Fattura Elettronica” veicolata tramite PEC
Phishing Fattura Elettronica
Il CSIRT Italia ha rilevato una nuova e subdola campagna di phishing che utilizza il tema della fattura elettronica per ingannare utenti e organizzazioni. L’attacco è particolarmente insidioso perché arriva tramite messaggi PEC (Posta Elettronica Certificata), apparentemente legittimi, provenienti da caselle verosimilmente compromesse.
Come funziona l’attacco
La campagna osservata segue questo schema preciso:
- Invio PEC fraudolenta: Gli utenti ricevono un messaggio PEC contenente un allegato ZIP.
- File HTML malevolo: All’interno dell’archivio è presente un file HTML denominato in modo compatibile con una presunta documentazione fiscale (es.”fattura_elettronica.html”).
esempio Rilevata campagna phishing a tema “Fattura Elettronica”
- Interfaccia ingannevole: Una volta aperto il file su Windows, appare un’interfaccia apparentemente legittima con:
- Titolo “Fattura Elettronica”
- Testo descrittivo breve
- Pulsante “Scarica Fattura”
- Footer con riferimenti societari e fiscali (per aumentare la credibilità)
esempio Rilevata campagna phishing a tema “Fattura Elettronica”
Tecnica malevola nascosta
L’analisi del codice evidenzia diverse tecniche di offuscamento :
| Tecnica | Descrizione |
| URL dinamico | Il collegamento al payload non è presente in chiaro: l’URL remoto viene costruito dinamicamente tramite JavaScript solo al passaggio del mouse sul pulsante |
| LocalStorage | La pagina registra l’avvenuta interazione nel localStorage del browser per evitare ripetizioni e rendere meno evidente il comportamento |
| Controllo user-agent | Viene verificata la stringa “windows”: solo su sistemi Windows viene mostrata la falsa interfaccia di download. Su altri OS appare un messaggio che dice “download disponibile soltanto da PC” |
| Offuscamento XOR | Il dominio remoto non è in chiaro nel file HTML, ma viene ricostruito tramite una sequenza numerica sottoposta a operazione XOR |
Catena di infezione – Phishing Fattura Elettronica
Il file HTML rappresenta la fase iniziale di una catena di infezione più articolata :
- Su sistemi Windows, il file agisce come dropper tramite Windows Script Host
- Genera su disco uno script PowerShell eseguendolo in modalità nascosta mediante Windows Management Instrumentation
- PowerShell contiene ulteriori livelli di offuscamento e decodifica contenuto remoto da infrastrutture controllate dall’attaccante
- L’attaccante può ottenere:
- Compromissione dell’endpoint
- Esecuzione di codice nel contesto dell’utente
- Download di ulteriori payload
- Meccanismi di persistenza
- Raccolta di informazioni locali
Come proteggersi: Misure di mitigazione
Per gli utenti:
- Non aprire allegati compressi contenenti file HTML o altri file attivi, anche se la comunicazione proviene da una casella PEC apparentemente attendibile
- Verifica sempre la coerenza tra il contenuto dichiarato e l’estensione del file proposto per il download
- Elimina immediatamente i messaggi che invitano a scaricare fatture non riconosciute
- Non cliccare su pulsanti o link interni a file ricevuti senza certezza del mittente
Per le organizzazioni:
- Applicare restrizioni sulle utenze privilegiate impedendo l’esecuzione di file .js, .jse, .vbs, .wsf, .hta e script analoghi da:
- Cartelle utente
- Directory temporanee
- Cartella Download
- Percorsi estratti da archivi compressi
- Configurare controlli dedicati su gateway PEC, proxy, DNS ed EDR/XDR per:
- Bloccare o sottoporre a sandbox allegati ZIP contenenti file HTML
- Generare alert in caso di download di script da domini remoti non categorizzati o sospetti
Indicatori di Compromissione (IoC) – Phishing Fattura Elettronica
Il CSIRT ha fornito questi indicatori per configurare blocklist sui sistemi di sicurezza:
| Tipologia | Indicatore |
| domain | graveyarddust.com |
| domain | poweruwstrong.com |
Conclusione
Questa campagna di phishing è particolarmente pericolosa perché sfrutta la fiducia nella PEC e il tema obbligatorio della fattura elettronica per indurre gli utenti a interagire. La tecnica di offuscamento e la catena di infezione multilivello rendono l’attacco difficile da individuare con soluzioni di sicurezza tradizionali.
La regola fondamentale: se ricevi una PEC con una fattura elettronica che non hai richiesto o non riconosci, non aprire gli allegati e segnala immediatamente il messaggio.
Fonte:: CSIRT Italia – BL02/260617/CSIRT-ITA, 19 giugno 2026
