Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 5 novembre 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 23-29 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose attive nel cyber spazio italiano: 28 sono state campagne mirate contro utenti italiani, 7 invece campagne generiche ma veicolate anche in Italia. 438 gli indicatori di compromissione pubblicati.

Le campagne malware analizzate hanno diffuso 5 diverse famiglie ransomware, per un totale di 10 campagne email malware. Ecco le famiglie:

Dridex è stato diffuso con 3 diverse campagne a tema Pagamenti: le email veicolavano file .XLS e .XLSM con macro dannosa;
Ursnif è stato diffuso con 3 diverse campagne, mirate contro utenti italiani: le email veicolavano allegati .XLS con macro dannosa;
AgentTesla è stato diffuso con 2 campagne generiche a tema Ordine e Documenti: le email veicolavano allegati .EXE e .XLL compromessi;
Qakbot è stato diffuso con una campagna mirata contro utenti italiani a tema Resend: le email veicolavano allegati archivio .ZIP;
Formbook è stato diffuso con più campagne contemporanee mirate contro utenti italiani: queste erano a tema Pagamenti e veicolavano file in formato .LZH e .DOC.
Dridex in breve:
è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E’ pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 23-29 Ottobre
Le campagne di phishing individuate e analizzate sono state 25 e hanno coinvolto 11 brand:

Intesa Sanpaolo, Poste, IPS, BNL, RelaxBanking, Nexi sono stati i brand più colpiti nelle campagne di phishing a tema bancario;
è stata analizzata una campagna generica organizzata al fine di rubare accessi a servizi email generici;
Zimbra e Roundcube sono stati sfruttati con campagne a tema Avvisi di Sicurezza: ovviamente le campagne miravano al furto delle credenziali di accesso alle rispettive email;
Samsung è stata sfruttata nella più classica truffa email a tema vincita: all’utente veniva richiesto il pagamento di un piccolo importo per ricevere un SAMSUNG Galaxy Z Fold3 5G. Per poter procedere al ritiro del premio, all’utente era richiesto di compilare un form compilato il quale si viene reindirizzati a shop fake dove si possono “acquistare” iPhone di vari modelli. Tutti i dati inseriti nel form erano direttamente inviati agli attaccanti;
Microsoft è stato sfruttato in una campagna a tema sicurezza per il furto delle credenziali di Outlook;

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato XLS di Excel: segue il formato EXE e, di nuovo, il formato Excel XLSM. I file Office si confermano i più utilizzati come vettori di attacco.

Fonte: https://cert-agid.gov.it/

Il CERT rende noto anche che la maggior parte delle campagne individuate sono state veicolate tramite canali email, ma sono state intercettate anche campagne via SMS

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy