Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 26 febbraio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT.

Sono ben 8 le famiglie di malware individuate in diffusione nell’ambito di queste campagne: nello specifico

Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
Formbook è stato individuato con due diverse campagne italiane a tema “Pagamenti” tramite allegati .ZIP e .ISO.
Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l’Italia: gli allegati dannosi erano in formato .XLS;
Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti.

Le campagne di phishing della settimana 19/02

Le campagne di phishing analizzate hanno coinvolto 14 diversi brand: il settore bancario si conferma di nuovo quello più colpito, ma si assiste ormai a una crescita costante delle campagne a tema PA e i settori Delivery, Finanziario e Assicurativo.

IntesaSanPaolo si conferma, tristemente, al primo posto dei brand più sfruttati per il tema Banking;
Poste Italiane, BNL, Unicredit, Findomestic chiudono il panorama delle campagne a tema Banking;
UniPol SAI si conferma come il brand più sfruttato per il tema Assicurazioni;
BRT e TNT invece sono i brand più sfruttati per il tema Delivery. Le campagne che hanno sfruttato questi marchi hanno visto l’uso non solo di false comunicazione email, ma anche di falsi SMS: scopo delle campagne è quello di indirizzare gli utenti verso pagine fake tramite le quali rubare i dati delle carte di credito;
Microsoft, OneDrive, Amazon, Tim sono stati sfruttati sia in campagne di phishing che di smishing finalizzate al furto delle credenziali dei relativi servizi;
Agenzia delle Entrate è stata sfruttata nell’ambito di una campagna piuttosto insidiosa che prometteva un rimborso di 136,99 euro da parte dell’Agenzia stessa. Per “ricevere il rimborso” l’utente viene invitato a compilare un form che, guarda caso, prevedeva anche l’inserimento dei dati della carta di credito e del CVV, oltre che quello dei dati generici;
chiude la lista dei brand Aruba, sfruttata in una campagna a tema pagamenti che reindirizzava l’utente verso una pagina fake di pagamento per il presunto rinnovo del servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si registra il boom di archivi in formato .ZIP. Seguono al secondo posto file in formato .exe e .xls., quindi i file .xlsm.
Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy