Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 8 ottobre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 02/10
Il CERT-AgID ha individuato circa 20 campagne dannose contro utenti italiani: sono circa 394 gli indicatori di compromissione (IoC) pubblicati. Per gli IoC rimandiamo al sito web ufficiale del CERT-AgID.

Il malware più diffuso è stato Dridex, dominatore indiscusso della settimana con più campagne in inglese, ma veicolate in Italia. La particolarità è che il CERT ha riscontrato due somiglianze con le campagne di diffusione di Emotet: l’uso di file .doc contenenti macro dannose come vettore del malware e la stessa codifica PowerShell del payload.

Dridex in breve:
è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E’ pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware.
MassLogger è stato diffuso con le consuete campagne a tema pagamenti, localizzate questa volta però in 11 diversi paesi, tra i quali l’Italia. Il CERT-AgID ha diramato un comunicato ad hoc per questa cyber minaccia, allertando privati e Pubbliche Amministrazioni sui rischi di questa cyber minaccia e segnalando una serie di IoC per la messa in sicurezza delle infrastrutture informatiche. Il comunicato è disponibile qui.

MassLogger in breve:
MassLogger è un infostealer (malware specializzato nel furto dati) e keylogger: come keylogger registra i tasti che un utente preme sulla tastiera, così da poter intercettare credenziali di ogni genere (nomi utente e password di account social, di home banking…) ma anche dati in generale (conto corrente, dettagli della carta di credito ecc…). Per un’analisi più approfondita clicca qui
Emotet è stato in diffusione con due diverse campagne, quindi “sottotono” rispetto la scorsa settimana. Vettore della prima campagna, a tema pagamenti, un documento in formato .DOC; vettore della seconda campagna, a tema salute, un file compresso .ZIP protetto da password. A riguardo segnaliamo l’utile servizio gratuito HaveiBeenEmotet, approntato dalla società TGSoft, che offre agli utenti la possibilità di verificare se il proprio indirizzo email sia vittima di Emotet.

AgenTesla è stato diffuso con due diverse campagne, a tema pagamenti: la versione in lingua italiana reca come allegato un file .ISO, mentre la versione in lingua inglese è diffusa tramite allegato .DOC.

Ursnif è stato in diffusione con una sola campagna a tema INPS con allegato .XLS.

Le campagne di phishing della settimana 02/10
Tra le campagne di phishing, pensate cioè per il furto dei dati degli ignari utenti, sono segnalate le seguenti campagne:

campagna TIM, in lingua italiana;
campagna Aruba, in lingua italiana e a tema mancati pagamenti dell’hosting;
campagne UbiBanca, IntesaSanpaolo, BNL, Paypal, tutte in lingua italiana;
campagna Enel, in lingua italiana e a tema rimborso.
Metodi e tipologia di file di attacco
Nelle campagne individuate e analizzate nel corso della settimana è stato fatto largo uso di allegati dannosi: i formati file più utilizzati come vettori malware sono stati 9: .zip, .doc, .iso, .js, .ps1, .vbe, .xls, .r05, .r09. Gli allegati .doc sono correlati in particolare alle campagne Emotet e Dridex, mentre i file .r05, .r09 e .rar sono correlati alle campagne MassLogger.

Tra le campagne individuate, 9 presentano allegati dannosi, 10 campagne invece rimandano con un link alla risorsa.

Le statistiche di individuazione per Settembre 2020

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy