venerdì 12 marzo 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della prima settimana di Marzo
La scorsa settimana il CERT-AgID ha individuato e analizzato, attive nello scenario italiano, 19 campagne dannose: 17 mirate contro obiettivi italiani, mentre 2 generiche veicolate anche in Italia. 547 gli indicatori di compromissione individuati e resi disponibili, sul sito ufficiale.
Otto sono state le famiglie malware individuate in diffusione, con Urnsif che si pone al primo posto col maggior numero di campagne di diffusione.
Urnsif è stato diffuso con tre diverse campagne mirate contro utenti italiani, a tema "Documenti", "Energia", "Aggiornamenti". Le email collegate alla campagna contenevano allegati compromessi del tipo .ZIP, .XLS e .Doc. Tutte e tre le campagne si sono prolungate nel tempo, mostrando anche cambiamenti di allegati per ridurre il rischio di individuazione;
AgentTesla e ASTesla sono stati diffusi rispettivamente con due campagne a tema pagamenti nel primo caso e con una campagna a tema "Conferma" nel secondo caso. Tutte e tre le campagne hanno visto l'uso di allegati in formato .ACE;
sLoad è stato di nuovo in diffusione con una campagna mirata contro le aziende e i liberi professionisti circolante nel circuito PEC: la campagna ha avuto breve durata nel corso del Lunedì. Qui l'apposita news pubblicata https://cert-agid.gov.it/news/campagna-sload-via-pec-con-solito-allegato-doppio-zip/ dal Cert;
Lokibot, Formbook, Qakbot e Dridex completano la panoramica delle famiglie malware in diffusione, ma sono circolati con campagne di scarso peso e ridotta diffusione.
Fonte: https://cert-agid.gov.it/
Per approfondire > Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende
Le campagne di phishing della prima settimana di Marzo
Le campagne di phishing hanno sfruttato 5 diversi brand: stavolta però non è il settore bancario quello più sfruttato. Tra i brand più sfruttati troviamo Poste e Nexi, che scalzano dal vertice di questa triste classifica il brand Intesa San Paolo:
Poste è stato sfruttato in ben 3 campagne di phishing mirate alla sottrazione delle credenziali di accesso ai servizi di Poste Italiane e degli estremi delle carte di credito;
Nexi è stata sfruttata in due campagne a tema Banking. Le email simulavano comunicazioni ufficiali Nexi con richiesta di aggiornamento dati degli account utenti;
Intesa San Paolo per la prima volta è fuori dal podio, sfruttata in una sola campagna di phishing a tema Banking mirata contro utenti San Paolo;
Microsoft e TNT chiudono il quadro delle campagne di phishing. La campagna TNT, a tema Pagamenti, spingeva l'utente a compilare un form tramite il quale gli attaccanti hanno sottratto gli estremi della carta di credito. La campagna Microsoft invece è simile alle precedenti, con l'invito all'azione all'utente a causa della fantomatica sospensione dell'account (ovviamente falsa).
Fonte: https://cert-agid.gov.it/
Fonte: https://cert-agid.gov.it/
Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si confermano molto usati i documenti Office, .xls, .doc, .xls. In uso però sono stati anche documenti .ace; .exe, .zip,.html e .iso
Fonte: https://cert-agid.gov.it/