Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 24 – 30 Aprile
Questa settimana il CERT-AgID ha individuato e analizzato 39 campagne dannose: una sola generica ma veicolata anche in Italia, mentre 38 sono state mirate contro obiettivi italiani. Addirittura 504 sono stati gli indicatori di compromissione messi a disposizione.

Sette sono state le famiglie malware individuate, in diffusione con 17 diverse campagne malware. Ecco i dettagli:

Flubot: si conferma corretto l’alert lanciato tempo fa dal CERT-AgID: Flubot è in distribuzione con una ondata, una vera propria ondata, di SMS finalizzati alla diffusione dell’apk malevolo. Una breve descrizione del malware è disponibile qui, ma consigliamo agli interessati la consultazione della guida che il CERT ha prodotto su questa minaccia.
Ursnif è stato individuato in diffusione con tre diverse campagne a tema Documenti: il malware era veicolato con allegati .ZIP;
Formbook vede la seconda settimana consecutiva di distribuzione, con 3 campagne rispettivamente a tema Pagamenti, Delivery e Ordini. Sono stati usati, per la diffusione, i formati archivio .ZIP e .RAR.;
AgentTesla è stato diffuso con due campagne a tema Pagamenti: due i formati file in uso come vettori, ovvero allegati .GZ e .ZIP;
Mekotio è stato diffuso con due campagne, una a tema Documenti contenente un link per il download di un file .ZIP e una a tema Pagamenti con un allegato .ZIP contenente a sua volta un file .MSI;
Lokibot non si vedeva da un mese, ma è tornato in diffusione con una campagna a tema Documenti e un allegato .ZIP;
Darkside è la new entry della settimana: mai riscontrato in Italia è stato individuato dopo aver compromesso la BCC di Roma.

Le campagne di phishing della settimana 24 – 30 Aprile
Le campagne di phishing hanno riguardato e coinvolto 13 brand. Ancora il settore bancario è quello più colpito, di nuovo Intesa Sanpaolo il brand più sfruttato: stavolta però è in compagnia di Unicredit e ING. Ecco i dettagli:

Intesa e Unicredit sono state sfruttate con 4 campagne di pshihing a testa: contenevano link che puntavano su domini creati appositamente per il furto dati e registrati tutti molto recentemente;
ING è stata riguardata da tre campagne di phishing a tema Banking: anche in questo caso l’email conteneva un link a pagine di phising predisposte con un form di inserimento dei dati dell’account bancario / conto corrente;
BPER, IWBank, Nexi, MPS e Ubibanca completano il quadro delle campagne di phishing a tema banking;
Account sospeso, Zimbra e Full Inbox sono state campagne di phishing generiche finalizzate al furto di credenziali dei servuzu di posta elettronica;
BRT e Amazon completano il quadro delle campagne di phishing.

Tipologia di file di attacco
Nel corso della settimana sono stati individuati, come file vettore, 5 diverse tipologie: capofila per numero di individuazioni il formato archivio .ZIP, seguito dal formato .APK spinto dalle massive campagne SMS di Flubot.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy