Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 28 maggio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 15-21 Maggio
La scorsa settimana il CERT ha individuato e analizzato 42 campagne dannose attive in Italia: 38 hanno mirato direttamente obiettivi italiani, 4 sono state invece campagne generiche veicolate anche in Italia. 298 sono stati gli indicatori di individuati.

Le famiglie di malware individuate in diffusione sono state 10, per un totale complessivo di 12 campagne.

Qakbot è distribuito con campagne che, dalla scorsa settimana, non si sono interrotte. Le più recenti sono due campagne email mirate per utenti italiani, a tema Documenti. L’allegato vettore è un archivio .ZIP contenente un file XLSM o un file XLS con macro dannosa;
Formbook torna in diffusione con due campagne, a tema Ordini e Contratti. La prima è una campagna generica, che è stata però veicolata anche in Italia: in questo caso l’allegato vettore era un archivio .ZIP contenente un eseguibile .EXE. L’altra campagna email è invece stata mirata contro utenti italiani e utilizzava un allegato .ISO;
Lokibot non ha mai interrotto la campagna di diffusione avviata, ormai, ben due settimane fa. Il file vettore è sempre in formato .ISO, ma è cambiato il tema passato da “Ordini” a “Pagamenti”;
Dharma – torna in diffusione in Italia il ransomware Dharma. La campagna, mirata contro utenti italiani, sfrutta allegati .ZIP contenenti un HTA che funge da dropper. E’ questo file che scarica il ransomware Dharma da un dominio compromesso, localizzato in Spagna: la particolarità di questa variante di Dharma è che riporta, hard-coded, le credenziali del database mysql del server di comando e controllo;
Flubot ha registrato appena una settimana di pausa, ma è già tornato in diffusione via SMS, anche se in maniere meno massiva. La nuova campagna non si differenzia dalle precedenti via SMS se non per un dettaglio: gli SMS provengono da numeri esteri. Ricordiamo la guida del CERT-AGID per affrontare e risolvere questa infezione;
Remcos torna a distanza di un mese in Italia, veicolato da una sola campagna a tema Ordine, contenente un link nel corpo del messaggio: il link conduce al download in un archivio . RAR. Le campagne precedenti facevano invece uso del formato .ISO;
Nanocore è stato rilevato in diffusione con una sola campagna email internazionale, ma veicolata anche in Italia. Le email erano a tema bancario con allegato .ACE;
AgentTesla e ASTesla sono stati in diffusione con due campagne mirate contro utenti italiani, una a tema Documenti e una a tema Banking;
Dridex è stato veicolato con una campagna generica in lingua inglese, ma diffusa anche in Italia: l’email è a tema pagamenti con allegati in formato .XLS.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 15-21 Maggio
Le campagne di phishing individuate coinvolgono 9 brand, la quasi totalità dei quali afferiscono al settore Banking. Questa settimana però, al contrario del solito, il brand più sfruttato per le campagne di phishing è stato ING, che stacca nettamente tutti gli altri brand.

ING è sfruttato addirittura con 13 diverse campagne mirate: è il brand più sfruttato dai phisher;
IntesaSanpaolo, Unicredit e Poste sono state le campagne più attive dopo ING. Il brand Poste è stato sfruttato con 3 campagne, una di queste via SMS;
Fideuram, BPM, Hype, BCC chiudono il panorama dei brand bancari sfruttati a fini di phishing;
Enel è stata sfruttata per una campagna di phishing a tema Energia: scopo della campagna la sottrazione delle credenziali di accesso al servizio.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware troviamo una conferma: il formato archivio .ZIP è ancora il preferito per gli attaccanti, seguito dai formati .ISO e .XLS.

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy