Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 11 giugno 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 31 campagne dannose con obiettivi Italiani: 319 sono stati gli indicatori di compromissione (IOC) individuati.

I malware della settimana 29 Maggio – 4 Giugno
Le famiglie malware individuate in diffusione sono state 5, per un totale di 7 campagne. Ecco la lista dei malware:

Formbook si conferma il malware più diffuso per la 3° settimana consecutiva. E’ stato in diffusione con campagne mirate a tema ordini e/o pagamenti: le email vettore utilizzavano allegati in formato archivio .ZIP e .RAR;
sLoad è stato veicolato con una campagna a tema Pagamenti diffusa sfruttando account PEC compromessi. La campagna è stata individuata e contrastata grazie agli sforzi congiunti di CERT AGID, Vigilanza AGID e i provider PEC. Contestualmente è stato diramato un alert per avvisare gli utenti della minaccia;
Ursnif è stato veicolato tramite email a tema Delivery: le email veicolavano allegati in formati XLSM contenenti una macro dannosa;
Guloader è stato diffuso con una campagna mirata per l’Italia: le email, a tema pagamenti, contenevano allegati .ZIP contenenti un altro archivio, in formato .GZ. L’eseguibile del malware, in formato .EXE, si annidava nell’archivio .GZ;
Bitrat torna in diffusione dopo 5 mesi di assoluto silenzio: individuata una campagna a tema ordine con allegati in formato .XLSX.
Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Bitrat in breve
Bitrat è un Remote Access Trojan: consente all’attaccante di controllare il dispositivo infetto tramite comandi inviati da una serie di server C2. Può avere accesso alla webcam, registrare le battiture sulla tastiera, sfruttare il dispositivo per il mining di criptovaluta e scaricare e eseguire upload di altri file sul sistema infetto.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 29 Maggio – 4 Giugno
Le campagne di phishing hanno visto il coinvolgimento di 12 brand: la novità della settimana è che c’è un “pari merito” per numero di campagne di phishing tra quelle classificate come “email generic” a tema investimenti con finalità di truffa Bitcoin e le classiche campagne phishing a tema Banking. Ecco i dettagli:

Scam BTC: sono state ben 7 le campagne a tema Investimenti che hanno preso di mira sia enti pubblici che utenti privati. Il CERT-AGID ha diffuso, sul tema, un apposito alert con i relativi IoC
Microsoft invece è stato sfruttato per campagne di phishing finalizzate al furto delle credenziali di accesso ai servizi Microsoft;
Intesa Sanpaolo e Poste si confermano i brand più sfruttati per le campagne a tema Banking;
UnipolSai, Nexi, ING e Unicredit chiudono la panoramica dei brand sfruttati per campagne di phishing a tema Banking;
Zimbra e Full Inbox sono stati usati per campagne generiche mirate al furto di credenziali di servizi di posta elettronica;
WeTransfer è stato sfruttato in campagne di phishing in inglese, che però hanno visto come destinatari anche alcune PA italiane. L’email a tema Documenti cercava di sottrarre credenziali di accesso al servizio WeTransfer.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware troviamo una novità: se il formato archivio .ZIP si conferma il più utilizzato, a pari merito però si trova il formato eseguibile .exe. I formati archivio comunque vanno “alla grande” con campagne che hanno visto l’uso dei formati .7z, .rar, .gz. Seguono i formati file Excel .xlsx e .xlsm e il formato .pdf

Fonte: https://cert-agid.gov.it
Pubblicato da s-mart Informa a 11:31
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: accessoremoto, banking malware, CERT, criptovalute, enterprise IT security, furtodati, Italia, malware, phishing, Trojan

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy