Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 19 novembre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 13/11
La scorsa settimana il CERT-AgID ha individuato e analizzato oltre 32 campagne dannose contro utenti italiani. Ben 485 gli indicatori di compromissione pubblicati, disponibili sul sito del CERT-AgID. Sono state analizzate 8 diverse famiglie malware attive nello spazio italiano:

immancabile Ursnif, in diffusione con ben 5 diverse campagne dannose. Tra gli allegati utilizzati troviamo il formato archivio .zip e l’estensione Excel .xls. I temi delle campagne sono stati vari, tra i quali INPS, Mise (a tema Covid), Enel e Delivery, ma gli IoC non sono cambiati;

AgentTesla invece è stato in diffusione con ben 4 diverse campagne tutte in lingua italiana, 3 utilizzando allegati .zip e una con allegato .lha;
Dridex e FormBook sono stati diffusi in tutto con 4 campagne, tutte in lingua inglese fatta eccezione per una campagna di distribuzione di FormBook, unica scritta in italiano. FormBook è diffuso tramite allegati .zip e .r00, mentre Dridex ha utilizzato il classico .zip. E’ stata individuata anche una campagna Dridex peculiare, nella quale il malware è stato veicolato con un link che rimanda ad una risorsa .doc;
sporadiche campagne hanno anche diffuso jRAT, ASTesla, QnodeService e Masslogger.

Fonte: https://cert-agid.gov.it/

QNodeService in breve
QNodeService è un trojan piuttosto recente, individuato in diffusione a partire dal Maggio di quest’anno. E’ programmato in Node.js, un linguaggio di programmazione usato solitamente per sviluppare per Web Server ed usato in rarissime occasioni per produrre malware. In questo caso, per gli attaccanti, è stata una scelta vincente perchè ha dotato il malware di un’alta probabilità di restare invisibile alle verifiche delle soluzioni antivirus. E’ un trojan modulare, quindi può ricevere più “moduli” e ampliare il numero e la tipologia di funzioni dannose che può eseguire. La funzione basilare è quella di rubare le credenziali salvate nei browser.

Le campagne di phishing della settimana 13/11
La campagne di phishing si confermano attive e numerose in Italia: è evidente che il settore bancario è costantemente sotto mira, dato l’alto numero di campagne a tema “Banking” con l’uso illegittimo di loghi e riferimenti di società finanziarie e bancarie legittime. Sono stati individuati anche alcuni tentativi si smishing (phishing via SMS anziché via email).

IntesaSanPaolo e Nexi sono stati i brand più sfruttati in campagne a tema “Banking”: IntesaSanPaolo è di nuovo la più bersagliata. Le campagne sono state sia via email che via SMS, in lingua italiana e con collegamento link alla pagina fake;
BNL, Unicredit, MPS e Credit Agricole completano il quadro delle campagne di phishing a tema Banking;
Aruba è stata protagonista (immancabile viene da dire) di una campana di phishing a tema Riattivazione del dominio;
Weebly invece è stata sfruttata per una campagna a tema “Aggiornamenti”: l’email conteneva un link a Blogspot che reindirizzava su una pagina di phishing ospitata su un dominio appartenente ad una Pubblica Amministrazione.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Sono stati usati 9 diversi formati di file per veicolare malware: il più utilizzato è indubbiamente il formato archivio .ZIP, seguito al secondo posto ma ben distante dal formato .xls, mentre il formato .jar sta al terzo posto. Altri formati individuati sono stati .doc, .7z. .xslm, .rar, .r00.

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy