venerdì 22 ottobre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 09 - 15 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 31 campagne dannose attive nel cyber spazio italiano: 25 sono state mirate contro obiettivi italiani, 6 invece sono state campagne generiche veicolate anche in Italia. 889 gli indicatori di compromissione che il CERT ha messo a disposizione, consultabili dal sito istituzionale.
Le campagne malware analizzate sono state 12 e hanno visto la diffusione di 6 diverse famiglie malware:
Qakbot è stato in diffusione con ben 3 campagne, 2 generiche e una invece mirata contro utenti italiani. Le email contengono un link che conduce al download di un file ZIP e un file XLS;
Lokibot è stato in diffusione con 3 campagne a tema Ordine: le email diffondevano allegati in formato GZ e ISO;
Formbook è stato in diffusione con 2 campagne, una mirata contro utenti italiani e una generica, tutte e due a tema Ordine. Gli allegati vettore sono file DOC;
AgentTesla è stato diffuso con due campagne, una generica e una mirata, a tema Ordine e Delivery: gli allegati email usati sono GZ e IMG;
Urnsif torna in diffusione con una campagna mirata che ha sfruttato il brand BRT: contiene allegati XLS con macro dannosa;
Dridex è diffuso con una campaggna generia a tema Pagamenti: gli allegati vettore sono file XLS con una macro dannosa che contiene oltre 170 indirizzi dai quali scaricare la DLL compromessa che attiva la catena di infezione.
QakBot in breve:
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.
Fonte: https://cert-agid.gov.it
Le campagne di phishing della settimana 09 - 15 Ottobre
Le campagne di phishing individuate e analizzate sono state 19 e hanno coinvolto 11 brand:
Poste, Intesa Sanpaolo, Nexi, Mediolanum, Fineco i brand sfruttati negli attacchi di phishing bancario. E' stata individuata anche una campagna generica che non riferisce ad alcun brand specifico ma che invita gli utenti ad "aggiornare" i dati della carta di credito;
Email generic: il CERT segnala anche due campagne, una generica e una mirata contro gli utenti italiani, a tema Avvisi di sicurezza o messaggio non recapitato: entrambe mirano al furto delle credenziali dei servizi email;
Agenzia delle Entrate ha visto il proprio nome e logo sfruttati in una campagna di phishing ospitata su un dominio appositamente creato;
Tiscali e Sky sono state sfruttate invece per due campagne, rispettivamente a tema Informazioni la prima e Abbonamento la seconda. La campagna Sky porta gli utenti su una landing page nella quale viene richiesto di inserire gli estremi della carta di credito;
BRT è stata sfruttata in una campagna di phishing mirata al furto delle credenziali di accesso al servizio.
Fonte: https://cert-agid.gov.it
Fonte: https://cert-agid.gov.it
Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato XLS di Office: segue il formato GZ , quindi gli immancabili DOC e ZIP.
Fonte: https://cert-agid.gov.it