Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 23 aprile 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 10 – 16 Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 28 campagne dannose, delle quali 1 sola è risultata generica, mentre tutte le altre erano mirate specificatamente contro obiettivi italiani. 490 gli indicatori di compromissione messi a disposizione.

7 sono state le famiglie di malware in diffusione, per un totale di 8 campagne di diffusione.
In dettaglio:

Flubot si colloca al primo posto tra i malware più diffusi, spinto in Italia via SMS con una campagna a tema Delivery che ha sfruttato il brand DHL. Il CERT-AGID ha pubblicato una specifica analisi su questo malware, consultabile qui. E’ già stata però individuata in diffusione la nuova versione, la 4.0: ne abbiamo parlato qui;
Snake: scomparso dai radar da moltissimo tempo, Snake è un trojan keylogger storico, tra i primi malware di questa tipologia che ha visto una diffusione di massa. E’ stato diffuso nel corso dell’unica campagna internazionale analizzata dal CERT, a tema Ordin;
Formbook conferma la propria predilezione per l’Italia con l’ennesima campagna (a tema Pagamenti) contro utenti italiani. L’unica novità è che dopo un primo utilizzo, nelle scorse settimane, di allegati dannosi in formato HTML e JS, Formbook è tornato sui propri passi rispolverando gli allegati in formato ACE;
Trickbot è tornato dopo un lungo silenzio, iniziato il 25 Febbraio di quest’anno. E’ stato diffuso con una campagna a tema Pagamenti contenente un link ad un allegato archivio .ZIP contenente a sua volta un file XLSB dannoso;
Qakbot torna dopo 1 mese esatto in diffusione in Italia. Nessuna novità: la campagna è stata a tema Documenti, i formati usati sono stati un archivio .ZIP contenente un file .XLSM;
AgentTesla e ASTesla chiudono il quadro, con due campagne a tema Pagamenti e Conferma.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 10 – 16 Aprile
I brand coinvolti nelle campagne di phsihing sono state 9: inutile ribadire, ma lo ribadiamo, che il settore più attacato è di nuovo quello bancario, mentre i brand preferiti dai phisher sono Intesa San Paolo e Poste Italiane.
IntesaSanPaolo ha visto il proprio brand sfruttato in ben 6 campagne di phishing via email, con link che puntavano su domini appositamente creati;
Poste invece è stata usata in 4 campagne a tema Banking: 3 di queste sono state veicolate via email, una via SMS. E’ stata individuata anche una campagna a tema SPID;
concludono la panoramica delle campagne a tema banking BPER, Unicredit, Nexi, MPS, ING e BPB;
LiberoMail: è stata individuata anche una campagna di phishing mirata contro utenti Libero. L’email, a tema Account sospeso, invitavano le vittime a inserire un form fake le credenziali del proprio account per riattivare il servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
I formati file più usati nelle campagne di attacco la scorsa settimana sono stati .ZIP e .ACE

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy