Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

venerdì 6 novembre 2020
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 30/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 19 campagne dannose attive nel panorama italiano: a fronte di un numero di campagne minori rispetto alle settimane scorse, si presenta invece molto alto il numero di Indicatori di Compromissione (IoC), oltre 454.

Sei sono state le famiglie ransomware individuate, in dettaglio:

Emotet è stato il malware più diffuso, distribuito con ben 3 diverse campagne nella sola giornmata di Lunedì 26. Le email sono in lingua italiana, 3 i temi: "Documenti", "Evento", "Salute". L'allegato dannoso è in formato .doc. Una quarta campagna Emotet è stata individuata nella giornaa di Venerdì scorso: differisce per temi, ma è identica ad una campagna a tema "Sociale" già individuata Venerdì 30 Ottobre.

Dridex se la gioca a pari merito con Emotet: è stato diffuso soltanto i primi tre giorni della settimana, ma con ben 4 diverse campagne contemporaneamente. I temi sono stati "Pagamenti" e "Spedizioni", gli allegati dannosi sono in formato .xsls e .doc.

Pochi segnali di attività invece da Ursnif che, a differenza della scorsa settimana, è stata diffusa con una sola campagna dannosa, che imita comunicazioni ufficiali di Enel e reca un file .xls in allegato. Segnali di attività anche per Lokibot, AgenTesla e Zloader, attivi solo nei primi tre giorni della settimana con campagne diverse a tema "Spedizioni" o "Pagamenti".

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/
Novità della settimana, l'individuazione di una campagna a tema "Banking" utilizzata per distribuire il malware Avemaria. La campagna imita comunicazioni ufficiali di Unicredit contenenti allegati .iso. Sotto l'email in oggetto, che, come ha rilevato il CERT-AgID contiene un cosiddetto "easter egg", una sorpresina: in una porzione di codice, gli attaccanti hanno citato il ricercatore di sicurezza Vitali Kremez

Avemaria è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest'anno: il nome viene da una stringa di codice del malware stesso. E' un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.

Le campagne di phishing della settimana 30/10
Tra le campagne di phishing individuate spiccano quelle a tema "Banking": individuate infatti false comunicazioni ufficiali di IntesaSanpaolo, BBC e BNL. Immancabili le campagne a tema Aruba, ormai una consuetudine: la comunicazione fake, a tema "Pagamenti" per account scaduto, recano loghi e riferimenti di Aruba. La giornata di Lunedì scorso invece è stata caratterizzata una massiva campagna a tema "Aggiornamenti" afferente ad Apple.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Sono state individuate 6 diverse tipologie di allegato dannoso collegato alle campagne analizzate: i formati più utilizzati sono stati .doc in prima posizione e .xlsm e .zip al secondo posto a pari merito. Individuati anche file .xsl, .iso, e .7z

Fonte: https://cert-agid.gov.it/

Gli Indicatori di Compromissione messi a disposizione sono disponibili sul sito ufficiale CERT-AgID.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy