Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 06/11
Nel corso della settimana il CERT-AgID ha individuato 25 campagne dannose attive contro utenti italiani. Sono stati 223 gli indicatori di compromissione (IoC) messi a disposizione.

Sei le famiglie di malware individuate in distribuzione:

Dridex è il malware più individuato. E’ stato diffuso con due diverse campagne in lingua inglese a tema “Pagamenti”. Le email contengono un allegato in formato .xlsm contenente la classica macro dannosa;
AgenTesla è stato diffuso con due diverse campagne, delle quali una scritta in lingua italiana. La campagna in lingua italiana reca con se in allegato due file .exe, mentre quella inglese reca un file .lha compromesso contenente un file eseguibile .exe;
Lokibot, Qrat e Remcos sono le altre famiglie malware individuate in diffusione nel corso di campagne a tema “Pagamenti” e “Informazioni”: hanno destato poca preoccupazione, poichè le campagne di diffusione sono state sporadiche. I file usati come allegati erano nei formati .ace, .zip e .ico.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 06/11
Se si sono stati individuati in circolazione meno tipologie di malware rispetto alle scorse settimane, la stessa cosa non vale per le campagne di phishing, che invece sono state molteplici. Sono state individuate anche campagne di smishing, ovvero phishing via SMS.

Intesa SanPaolo è stato il brand più sfruttato anche in questa settimana, per le campagne a tema “Banking”. Uno degli alert più importanti è stato diramato dal ricercatore Andrea Palmieri, che dal suo profilo Twitter ha fatto sapere di aver individuato una pagina in chiaro, praticamente identica a quella di Intesa San Paolo e legata ad alcune delle campagne della scorsa settimana.

Sempre Palmieri ha individuato anche un altro falso sito della banca, contenente anche un APK dannoso per Android: l’applicazione fake è in grado di leggere gli SMS ricevuti sul dispositivo dove è installata. E’ molto probabile che sia usata per intercettare le One Time Password, i codici a scadenza che sono richiesti per gli accessi autenticati a doppio fattore.

E’ fuori di questione che i clienti della banca IntesaSanPaolo debbano prestare estrema attenzione, poichè l’attenzione dei cybercriminali rispetto a questo brand è costante e continuo. Oltre a Intesa SanPaolo sono state individuate campagne di phishing che sfruttano i brand BNL, Unicredit, BCC e MPS.

Poste invece ha visto svariate campagne truffaldine, una delle quali ha così destato preoccupazione da comportare uno specifico avviso da parte del CERT-AgiD. Alcune di queste campagne sono state a tema “Delivery” e “Informazioni”, ma la più insidiosa è stata quella a tema Spid, avviata proprio in concomitanza col click day.
Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco

Sono state individuate 7 diverse tipologie di allegato dannoso collegato alle campagne analizzate: tra gli allegati dannosi più individuati spicca il formato Excel .xlsm, seguito dal formato archivio .zip. A seguire .exe, .iso, .ace, .rar.
Fonte: https://cert-agid.gov.it

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy