Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 – 27 Agosto

venerdì 3 settembre 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 – 27 Agosto

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 21 – 27 Agosto
Nel corso della settimana, sono state individuate 18 campagne dannose in diffusione nello spazio italiano: 4 di queste sono state campagne generiche, 14 invece miravano ad obiettivi Italiani. 623 gli indicatori di compromissione individuati.

7 le famiglie malware individuate in diffusione, 12 le campagne malware totali. In dettaglio, i malware più diffusi sono stati:

Formbook, distribuito con 4 campagne diverse, due in italiano a tema “ordine”, due generiche. Le email contenevano allegati in formato LZH, XZ e EXE. Un solo caso riportava un link ad un file ISO;
Hancitor, diffuso con due campagne diverse: una è stata generica a tema “documenti” e una invece italiana a tema “pagamenti”. Entrambe presentavano lo stesso schema: le email contenevano il link per il download di un file .DOC. Come già visto, Hancitor è stato usato per distribuire CobaltStrike;
Lokibot invece è stato distribuito solo con campagne italiane, due in dettaglio: una a tema Banking e una a tema Pagamenti. Le email contenevano allegati di topo .ZIP e .XLSX;
AgentTesla è stato in distribuzione con una campagna italiana a tema Contratti. Le email veicolavano allegati in formato .RAR;
Remcos, Nanocore e Ursnif sono stati in distribuzione, rispettivamente, con una sola campagna. Il primo è stato distribuito con una campagna italiana a tema Ordine: il link contenuto nel corpo email rimandava al download di un file .ISO. Nanocore invece, assente da 3 mesi in Italia, è stato in distribuzione con email a tema Pagamenti e allegati in formato .GZ. Ursnif è stato in distribuzione con una sola campagna generica a tema pagamenti, anche in questo caso con allegati in formato .GZ.

Fonte: https://cert-agid.gov.it/

Hancitor in breve:
è stato osservato in distribuzione per la prima volta intorno alla fine di Luglio, in due campagne diverse a tema Pagamenti: le email presentavano un link che puntava al download di un file .DOC dotato di macro. E’ un malware downloader che però, come dimostrato dalle analisi tecniche, ha anche funzionalità di infostealer. Inizialmente è stato usato per distribuire un nuovo malware, FickerStealer, ma le campagne più recenti lo hanno visto come downloader di CobalStrike (che altro non è che un tool legale di penetration testing usato ormai abbondantemente anche dai cyber criminali).

Nanocore in breve…
NanoCore è stato individuato per la prima volta nel 2013, in vendita nei forum di hacking del dark web. E’ un trojan di accesso remoto (RAT), ma ha anche una varietà di funzionalità: funziona come keylogger e password stealer e invia ai propri operatori password e dati utili che riesce a esfiltrare dal sistema infetto. Può anche scaricare altri file dannosi, bloccare lo schermo, rubare file ecc..

Le campagne di phishing della settimana 21 – 27 Agosto
Le campagne di phishing analizzate hanno coinvolto 6 diversi brand, non appartenenti solo al mondo bancario e finanziario. Eccone la lista:

BPM e MPS, il cui brand è stato sfruttato per campagne di phishing ovviamente a tema bancario;
Apple è stata sfruttata per una campagna a tema “Acquisti” che, tramite un link puntato su un dominio .shop. mostrava all’utente un catalogo prodotti e un carrello, proprio come un vero shop online. Gli utenti che acquistano tramite lo shop fake possono pagare solo con bonifico diretto ad un iban italiano intestato a Istituto bancario XFinancial Services.;
Amazon è stata sfruttata per una campagna a tema “Premi”. Le email contengono un link a una finta lotteria nella quale è possibile vincere, dichiara il corpo email, un TV Samsung. L’utente è indotto a compilare coi dati personali un form per la partecipazione alla lotteria, quindi viene richiesto il pagamento tramite carta;
Sky invece ha visto il brand sfruttato per una campagna a tema “Aggiornamenti” collegata a landing page ospitate su domini registrati appositamente. Tutte le landing page sono approntate per sembrare pagine per aggiornare l’account. La campagna mira al furto delle credenziali di accesso al servizio;
Outlook chiude l’elenco dei brand: sfruttato con una campagna italiana a tema “Aggiornamenti” , cercava di indurre gli utenti a inserire le credenziali di posta in pagine di phishing che emulavano le login page di Outlool Web Access.
I temi principali della settimana 21 – 27 Agosto
I temi sfruttati per le campagne di attacco sono stati una decina circa, ma tre sono stati i più importanti: il primo, ovviamente, il tema Banking, sfruttato per il phishing contro il settore bancario. Il tema Pagamenti invece è stato usato principalmente per veicolare malware, il tema “Ordine” è stato usato per veicolare Formbook e Remcos.

Fonte: https://cert-agid.gov.it

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy