Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 15 ottobre 2020

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 09/10
La scorsa settimana il CERT-AgID ha individuato e analizzato 33 campagne dannose attive nello scenario italiano e rivolte contro utenti italiani: 224 sono gli indicatori di compromissione (IoC) messi a disposizione.

Ursnif è stato il malware più individuato, distribuito con ben 4 diverse e massive campagne di email di spam: tra queste, due erano a tema INPS mentre due imitavano comunicazioni del corriere Bartolini. Gli allegati usati in tutte le quattro campagne erano in formato XLS e XLSm. Nell’analisi di queste campagne, gli esperti del CERT si sono imbattuti in alcune interessanti peculiarità.

La campagna a tema Delivery, ovvero quella che sfrutta il nome di Bartolini, contiene un allegato XLSm. La drop-URL per scaricare la DLL è offuscata nelle celle e decodificata dalla macro: solo che la macro manda in crash Excel su Any.Run. Eseguendo il debug del codice macro i ricercatori hanno scoperto che l’errore è dovuto alle proprietà di ActiveWindow con .Height e .Width pari a 1. Height e Width impongono un resize del foglio Excel a dimensioni 1×1, che non sono accettate dalle versioni Office 2010. E’ quindi molto verosimile ritenere che questa campagna non sia andata buon fine (per gli attaccanti) su quelle macchine che hanno versioni di Excel inferiori alla 2013.

Dridex è stato invece in diffusione con 3 diverse campagne, due a tema spedizioni e in italiano, uno a tema pagamenti in inglese. L’allegato è, per tutte e tre le campagne, un XLSm.

Immancabili, al terzo posto, MassLogger e AgenTesla che hanno coperto interamente le giornate di Lunedì 5 e Martedì 6. Le campagne, a tema pagamenti, presentavano allegati in vari formati, soprattutto .zip, .rar, .img. MassLogger è poi tornato in diffusione con una seconda campagna contro utenti italiani, ma in lingua slovacca. Gli esperti del CERT confermano l’esfiltrazione di credenziali ad opera di MassLogger.

Infine, novità rispetto alle scorse settimane, torna ad affacciarsi sulle scene LokiBot che, dopo un lungo periodo di assenza, è stato diffuso in Italia con una massiva campagna email con allegati di tipo .zip, .iso, .img.

Lokibot in breve
LokiBot, individuato per la prima volta bel 2015, è un noto infostealer che opera registrando la battitura dei tasti (keylogger), monitorando l’attività dei browser e salvando screenshot del desktop dai dispositivi infetti. Ne esistono versioni sia per Windows che per Android.

Fonte: https://cert-agid.gov.it/

Le campagne phishing della settimana 09/10

Fonte: https://cert-agid.gov.it/
Tra le campagne phishing, la scorsa settimana sono state quelle a tema Banking che l’hanno fatta da padrone: Intesa SanPaolo è stata, suo malgrado, protagonista, con tre campagne email e due anche via SMS. Altre banche il cui nome è stato sfruttato in campagne i phishing sono state BPM, Findomestic, BNL.

Immancabili le campagne, ben 5, a tema Tim, Aruba o Outlook.

Metodi e tipologia di file di attacco
Nelle 33 campagne analizzate, sono state impiegate 11 diverse tipologie di file, ovvero .img, .r04, .zip, .xlsm, .xls, .ps1, .iso, .rar, .chm, .r13, .r08.

Le statistiche di individuazione sono visibili nel grafico sottostante pubblicato dal CERT

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy