In un mondo sempre più digitale, le minacce informatiche evolvono continuamente, mettendo alla prova la sicurezza di organizzazioni e individui. Recentemente, è stata identificata una campagna di phishing particolarmente sofisticata che utilizza documenti MSC (Microsoft Common Console Document) per attaccare bersagli in Pakistan. Questa campagna, denominata FLUX#CONSOLE, sfrutta il tema delle tasse per ingannare le vittime e distribuire un payload backdoor furtivo.

Securonix, un'azienda di sicurezza informatica, ha osservato che questa campagna inizia con l'invio di email di phishing, anche se non è stato possibile recuperare l'email originale utilizzata per l'attacco. Gli attori della minaccia utilizzano file MSC con doppia estensione (es. .pdf.msc) per mascherarsi da file PDF, che se aperti, eseguono codice JavaScript incorporato tramite il Microsoft Management Console (MMC). Questo codice non solo recupera e mostra un file esca, ma carica anche segretamente un file DLL (DismCore.dll) in background. Uno dei documenti utilizzati nella campagna è intitolato "Tax Reductions, Rebates and Credits 2024", un documento legittimo associato al Federal Board of Revenue (FBR) del Pakistan.

L'aspetto più inquietante di questa campagna è la capacità del payload principale di stabilire un contatto con un server remoto, eseguendo comandi che consentono di esfiltrare dati dai sistemi compromessi. Gli attacchi sono stati interrotti entro 24 ore dall'infezione iniziale, ma resta incerto chi sia dietro questa operazione. Il gruppo noto come Patchwork è stato precedentemente osservato utilizzando documenti simili legati al FBR in altre campagne di phishing nel dicembre 2023. Tuttavia, non ci sono prove concrete che colleghino Patchwork a questo attacco specifico, sebbene le somiglianze nei metodi suggeriscano una possibile connessione.

La campagna evidenzia la complessità crescente delle minacce informatiche moderne, con tecniche sempre più sofisticate per nascondere e distribuire codice malevolo. L'uso dei file MSC rappresenta un'evoluzione potenziale rispetto ai classici file LNK, che da anni sono popolari tra gli attori delle minacce informatiche. Questa tecnica permette di eseguire codice malevolo integrandosi nei flussi di lavoro amministrativi legittimi di Windows, rendendo ancora più difficile la rilevazione e l'analisi.