giovedì 14 gennaio 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 08/01
Nel corso della scorsa settimana in CERT-AgID ha individuato e sottoposto ad analisi 17 diverse campagne dannose, di cui una generica diffusa anche in Italia e 16 rivolte specificatamente contro gli utenti italiani. 129 gli indicatori di compromissione (IoC) resi disponibili.
3 le famiglie di malware individuate in diffusione. Una è solo una conferma, ma due sono novità:
Emotet, vecchia conoscenza, è stato diffuso nel corso della settimana con 3 diverse campagne email contenenti allegati archivio in formato .ZIP. Le campagne sono state a tema "Pagamenti", "Informazioni", "Conferma".
BitRAT è stato veicolato per la prima volta in Italia. La sua individuazione si deve al ricercatore ReecDeep , che lo ha individuato in diffusione tramite allegato in formato .docx contenuto in email a tema "Informazioni".
sysC32cmd è un altro nuovo malware, diffuso con una campagna a tema "Cashback" recante file archivio in formato .ZIP.
BitRAT in breve
BitRAT è un cosiddetto RAT, remote access trojan. Svolge varie attività dannose, ma la principale resta quella di garantire all'attaccante la possibilità di accesso remoto alla macchina bersaglio. E' un MaaS (malware as a service) disponibile in vendita nel dark web, cosa che diversifica moltissimo le modalità di distribuzione a seconda di chi lo acquista. Programmato in C++, è dotato di una serie di funzionalità come:
accesso a tastiera e mouse del dispositivo, azionabili dall'attaccante in tempo reale;
spyware con capacità di accesso a webcam e microfono;
esfiltrazione dei dati (talvolta usati a fine di ottenere un riscatto in criptovaluta);
downloader: ha la capacità di scaricare ulteriori file sulla macchina alla quale si connette in accesso remoto, determinando spesso infezioni a catena;
furto dati e credenziali dai browser (in particolare Google Chrome);
keylogging, per la registrazione di tutte le battiture sulla tastiera;
in alcune versioni ha capacità di criptominer per l'estrazione di criptovaluta Monero (XMR).
sysC32cmd in breve
sysC32cmd è anch'esso un RAT infostaler, che usa un server FTP su Altervista per la raccolta di informazioni. E' scritto in VB6. All'avvio, come prima azione si rende persistente modificando il registro di sistema, quindi avvia immediatamente la raccolta di informazioni sulla macchina infetta, inviando tutto al server FTP. Scarica anche un modulo aggiuntivo con funzioni di keylogging.
Una descrizione esaustiva e completa è stata pubblicata dal CERT-AgiD ed è consultabile qui
Fonte: https://cert-agid.gov.it/
Le campagne di phishing della settimana 08/01
Sono 9 i brand coinvolti nelle campagne di phishing analizzate. Il settore più colpito è, come sempre, quello bancario: Intesa San Paolo e Poste Italiane di nuovo sono i brand più sfruttati dai cybercriminali per truffare gli utenti.
Poste Italiane ha visto il proprio nome in ben 3 diverse campagne, 2 delle quali a tema SPID. Le 3 campagne sono comunque da vedersi correlate le une alle altre e mirate ad unico scopo: il furto delle credenziali di accesso al servizio SPID.
Intesa San Paolo, BPM, MPS, Unicredit e DeutscheBank sono stati i brand più usato per le campagne di phishing a tema "Banking".
Outlook è stato usato dagli attaccanti in due campagne di phishing, entrambe mirate alla sottrazione delle credenziali di accesso al popolare servizio di Posta.
Fonte: https://cert-agid.gov.it/
Fonte: https://cert-agid.gov.it/
Tipologia di file di attacco
Per quanto riguarda le tipologie di file allegati per veicolare i malware, sono stati soltanto 3: il più utilizzato è stato il formato archivio .ZIP. Seguono i formati Office .exe e .docx
Fonte: https://cert-agid.gov.it/