Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 05/02
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 35 campagne dannose: soltanto due di queste sono state campagne generiche distribuite anche nello spazio italiano, mentre 33 hanno preso di mira specificatamente obiettivi italiani. 449 gli indicatori di compromissione resi disponibili.

7 sono state le famiglie di malware individuate: prima di elencarle però è utile far notare un’assenza che ha grosso peso. Non risultano individuazioni di campagne vettori del malware Emotet: il take down dell’infrastruttura botnet è stato davvero efficace.

AgentTesla e ASTesla: in mancanza di Emotet, i malware più individuati sono stati i due della famiglia Tesla, diffusi in 4 diverse campagne a tema Pagamenti con allegati di tipo .GZ, .R01 e .UUE;
Qakbot invece è stato diffuso con tre diverse campagne a tema “Documenti”. Le email contenevano allegati .XLS contenenti la classica macro dannosa. Gli esperti del CERT fanno notare come Qakbot mancasse alla distribuzione dal 24 Dicembre 2020;
Lokibot, Formbook, Netwire e Dridex completano la panoramica sulle famiglie malware individuate la scorsa settimana. Tutte le campagne di distribuzione di queste famiglie hanno utilizzato email in lingua italiana, a parte quella per la diffusione di Dridex, contenente testo, oggetto e allegato in lingua inglese.
Netwire in breve:
è un trojan infostealer, specializzato cioè nel furto di informazioni. Viene diffuso tramite documenti Excel compromessi, contenenti macro dannosi. Talvolta sfugge all’individuazioni delle soluzioni antivirus e anti malware a causa del fatto che parte del suo codice è altamente offuscato. E’ capace di ottenere la persistenza sui sistemi. Una volta attivo sul sistema, ruba le credenziali di Outlook e la cronologia dai browser Internet Explorer, Chrome, Mozilla. Ha funzionalità di keylogging.

Le campagne di phishing della settimana 05/02
12 sono stati i brand coinvolti nelle campagne di phishing analizzate. Nessuna novità particolare in questo campo: di nuovo il settore più bersagliato è quello bancario / finanziario, di nuovo i brand più sfruttati sono stati IntesaSanPaolo e Poste Italiane. L’unica “novità” è che anche il brand Findomestic è stato usato per campagne di phishing.

Intesa San Paolo ha visto il proprio brand sfruttato in ben 5 diverse campagne, a tema Banking, pensate per il furto di credenziali;
Poste segue Intesa con 4 campagne di phishing finalizzate al furto di credenziali accesso e di estremi della carta di credito / debito;
Findomestic torna ad essere sfruttata in campagne di phishing, ben 3 solo questa settimana (per un totale di 5 campagne negli ultimi 6 mesi, puntualizzano dal CERT);
BNL , MPS, Unicredit, Prestito chiudono l’elenco delle campagne di phishing a tema banking. Si registrano anche campagne di smishing;
chiudono la lista Amazon e Outlook, con campagne di phishing sporadiche mirate alla sottrazione di credenziali.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda le tipologie di file più usate per veicolare malware, il formato più utilizzato è stato il formato .XLS, seguono i formati .UUE, .R01, .XLSM, .RAR; .GZ.

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy