Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 24 settembre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID, ha individuato attive nello spazio italiano, 20 campagne dannose: 14 erano mirate contro obiettivi italiani, 6 invece sono state generiche ma veicolate anche in Italia.

I malware della settimana 11 – 17 settembre 2021

9 sono state le famiglie di malware individuate, per un totale di 12 campagne malware:

Lokibot è stato diffuso con 3 diverse campagne: una a tema Documenti ha visto l'uso di allegati immagine .ISO, due invece sono stati a tema Università con allegati .ZIP e .XLS;
Hancitor di nuovo in diffusone con due campagne generiche a tema Documenti: le email contenevano link e allegati .DOC. DI nuovo Hancitor è stato usato come "cavallo di troia" per veicolare CobaltSrike;
sLoad è stato diffuso con una campagna mirata a tema Pagamenti: la campagna è girata nel circuito PEC e ha visto l'uso di allegati .ZIP. Anche in questo caso, come già accaduto, il CERT ha contrastato la campagna in collaborazione coi provider PEC. Qui l'avviso pubblico rilasciato dal CERT;
AgentTesla è stato veicolato con una campagna mirata contro utenti italiani a tema Pagamenti: l'allegato usato era in formato .LZH;
Dridex e Remcos sono stati di nuovo in diffusione con due campagne, una a tema Pagamenti e una a tema Delivery, e veicolati tramite file Excel contenenti macro;
Vidar è stato invece individuato in diffusione per la prima volta in Italia con una campagna a tema Ordine ed allegati in formato PPAM;
Qakbot e Oski invece sono stati distribuiti con una campagna a testa, rispettivamente tema Resend e a tema Ordine.
Per approfondire > Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro

Vidar in breve:
Vidar è un malware specializzato nel furto di informazioni: è distribuito principalmente via email o tramite l'installer di software commerciali crackati o tramite software keygen. Mira principalmente alle credenziali salvate nei browser o in altri software. I dati sottratti dai dispositivi infetti sono inviati e raccolti al server di C&C. Oltre alle credenziali dei servizi e dell'home banking, prende di mira anche i wallet di criptovaluta.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 11 – 17 settembre 2021
Le campagne di phishing individuate e analizzate sono state 8, con 6 brand coinvolti.

IntesaSanpaolo, MPS, Nexi e Poste sono stati i brand più sfruttati nelle campagne di phishing a tema bancario;
GLS è stata sfruttata per una campagna mirata contro utenti italiani clienti del servizio GLS;
Email generic: è stata individuata una campagna di phishing generica mirata al furto delle credenziali di accesso agli account di posta elettronica di vari servizi email

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, la fa da padrone il formato archivio .ZIP, seguito dagli immancabili file Office con macro, principalmente .DOC e .XLS. Una campagna ha visto l'uso dei file PPAM di Microsoft Power Point.

Fonte: https://cert-agid.gov.it/
Pubblicato da s-mart Informa a 11:39
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: banking malware, CERT, data breach, enterprise IT security, furtodati, Italia, malware, pec, phishing

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy