Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

enerdì 1 ottobre 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18 – 24 Settembre 2021
Nel corso di questa settimana il CERT ha individuato e analizzato 25 campagne dannose, di cui 18 mirate contro obiettivi italiani e 7 generiche ma veicolate anche in Italia. 454 sono stati gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 8, per un totale di 10 campagne malware. Ecco i malware:

Hancitor è stato in diffusione con 3 campagne, tutte a tema Documenti. Ogni email conteneva un link per il download di un file .DOC con macro. Hancitor si piazza sul podio dei malware più diffusi in Italia nel mese di Settembre. Ad ora è veicolato per poter utilizzare sui dispositivi infetti il tool di penetration test CobaltStrike;
Lokibot è stato in diffusione con una campagna a tema Ordine. Il payload del malware è stato diffuso via email con allegato in formato .ZIP;
AgentTesla è stato in diffusione mirata contro utenti italiani: la campagna era a tema Pagamenti e ha visto l’uso di allegati in formato archivio .ZIP;
BazarLoader è stato diffuso con una campagna mirata a tema Informazioni: anche in questo caso le email veicolavano un allegato .ZIP;
Raccoon è stato diffuso, dopo mesi di assenza, con una campagna generica a tema Documenti: l’allegato erano file .XLL;
Remcos è stato diffuso con campagne a tema Preventivo e allegati .XZ;
Formbook è stato diffuso con campagna a tema Banking veicolata con allegati XZ;
Ursnif è stato diffuso con la classica campagna che emulava comunicazioni del corriere BRT: gli allegati erano in formato XLS con macro dannosa.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 18 – 24 Settembre 2021
15 sono state invece le campagne di phishing, coinvolgendo 9 brand. Il settore bancario, ovviamente, è stato quello più colpito.

IntesaSanpaolo, Poste, Unicredit e Fideuram sono stati i brand più sfruttati per le campagne di banking phishing;
BRT è stato sfruttato con due campagne italiane a tema Delivery;
Email: sono state individuate due campagne generiche mirate al furto di credenziali di account di posta elettronica. Per il furto dati sono stati sfruttati i servizi Google;
Aruba è stata sfruttata con una campagna a tema Riattivazione inviata massivamente a clienti Aruba: scopo era il furto degli estremi della carta di credito tramite un finto form di pagamento del rinnovo del servizio;
Adobe invece è stata sfruttata con una campagna mirata contro le PA per sottrarre le credenziali di accesso al servizio;
Sky è stata sfruttata per una campagna veicolata tramite domini creati appositamente: scopo, la sottrazione degli estremi della carta di credito tramite un form fake per il pagamento del servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware , troviamo pari merito due classici, ovvero il formato DOC e il formato e il formato ZIP: forte rallentamento della diffusione di formati Excel con macro.

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy