Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 14 maggio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1-7 Maggio
La scorsa settimana il CERT-AgiD ha individuato e analizzato 28 campagne dannose: di queste 3 sono state generiche e veicolate anche nello spazio italiano mentre 25 sono state mirate contro obiettivi italiani. 163 sono stati gli indicatori di compromissioni (IOC).

Le famiglie di malware individuate sono state 4, soltanto 6 le campagne malware. Ecco i punti salienti:

Raccoon: è stato individuato in diffusione in Italia per la prima volta, con due diverse campagne a tema pagamenti. Le email contenevano allegati in formato .XLSB. E’ un malware che, fino ad ora, ha colpito quasi esclusivamente negli Stati Uniti;
Formbook è stato in diffusione anche questa settimana, con due diverse campagne email: una a tema pagamenti e una a tema ordine. Le email utilizzavano allegati in formato .ZIP e .GZ;
AgentTesla è stata veicolata con una sola campagna a tema Pagamenti: le email contenevano allegati in formato .ZIP;
Urnsif è stato rilevato in diffusione con una sola campagna malware a tema Delivery: le email veicolavano il malware via allegato .XLSM.

Raccoon in breve:
Raaccon è malware infostealer, specializzato cioè nel furto di dati e informazioni sensibili dai sistemi infetti. E’ un MaaS, malware as a service, ovvero un malware che può essere affittato nel dark web, personalizzato e distribuito dagli affiliati: i gestori garantiscono addirittura supporto tecnico e aggiornamenti, risolvendo bug e aggiungendo nuove funzionalità. Tra le informazioni rubate troviamo credenziali di login, info0rmazioni delle carte di credito, wallet di criptovalute e le informazioni contenuti nei browser (cookie, cronologia ecc…). Può essere diffuso sia tramite campagne di phishing, sia tramite siti web compromessi che ospitano exploit kit in grado di sfruttare falle dei browser per installare silenziosamente il malware.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 1-7 Maggio
Le campagne di phishing analizzate hanno visto il coinvolgimento di 8 diversi brand: la maggior parte di questi sono brand bancari, in particolare Poste, Intesa San Paolo e Unicredit.

Poste è stato il brand più sfruttato con campagne a tema Banking: le email contengono un link che punta a pagine registrate ad hoc per il furto dati;
IntesaSanpaolo, Unicredit, ING sono stati gli altri brand bancari più sfruttati. 4 sono state le campagne di phishing che hanno sfruttato il brand Intesa San Paolo, altrettante hanno sfruttato il nome di Unicredit, mentre ING è stato sfruttato in 3 campagne mirate;
Ubibanca chiude il panorama delle campagne di phishing a tema banking;
Full Inbox: qui si parla di una campagna i phishing generica che mira alla sottrazione delle credenziali di accesso ai servizi di posta elettronica;
BRT e Amazon completano il quadro delle campagne di phishing. BRT è stata sfruttata in una campagna a tema Delivery, Amazon in una a tema Premi.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Nel corso della settimana sono stati individuati, come file vettore, 4 diversi formati file: il formato archivio .ZIP e il formato Excel .XLSB sono stati i più utilizzati.
Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy