Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Febbraio 2022

venerdì 18 febbraio 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Febbraio
La scorsa settimana il CERT-AGID ha individuato e analizzato ben 55 campagne dannose attive nel cyber spazio italiano. 52 di queste sono state campagne mirate contro utenti italiani, 3 invece quelle generiche ma veicolate anche nel nostro paese.

Le famiglie malware individuate in diffusione sono state 11: Emotet si conferma il malware più diffuso in Italia.

Emotet è stato diffuso con ben 6 campagne nel corso della settimana. I temi delle campagne sono stati Conferma, Resend e Documenti: i file vettore erano nei formati .XLS, .XLSM, .ZIP;
AgentTesla è stato diffuso con 4 diverse campagne a tema Pagamenti e Documenti. Tutte le email recavano file archivi .ZIP compromessi;
Ursnif è stato diffuso con 3 campagne che hanno emulato comunicazioni ufficiali dell’Agenzia delle Entrare. Le email contenevano allegato .ZIP protetti da password oppure file .DOC con macro dannosa;
Formbook invece è stato diffuso con 3 campagne, 2 mirate contro utenti italiani, una generica. I temi delle campagne sono stati Ordine e Pagamenti, gli allegati vettore dannosi erano nei formati .ZIP e .IMG;
Brata è stato diffuso con due diverse campagne SMS: i messaggi contenevano il link per il download di un file APK dannoso;
Avemaria è stato diffuso con due diverse campagne: Ordine e Pagamenti i temi. Le email veicolavano archivio .ZIP e .RAR compromessi;
RedLine è stato diffuso con una sola campagna, comunque generica. Le email veicolavano allegati .ZIP contenenti, a loro volta, un file .LNK;
AteraAgent è stato diffuso con una campagna mirata contro utenti italiani a tema Documenti: è stato diffuso con una campagna italiana a tema Pagamenti. Le email veicolavano allegati .MSI;
AsyncRat è stato diffuso con una campagna mirata contro utenti italiani a tema Documenti: le email veicolavano allegati .ZIP contenenti a loro volta file .VBS;
jRAT è stato diffuso con una campagna italiana a tema Documenti, le email recavano direttamente in allegato il file .EXE;
sLoad è stato diffuso con una campagna a tema pagamenti veicolata via PEC. Qui l’alert del CERT-AGID con le specifiche.
Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest’anno: il nome viene da una stringa di codice del malware stesso. E’ un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.

RedLine in breve:
RedLine è un infostealer conosciuto fin dagli inizi del 2020: già diffuso all’estero entro utility o giochi, sbarca per la prima volta in Italia. E’ un MaaS, malware as a service, affittabile via Telegram sotto abbonamento, con un costo che varia dai 150 dollari al mese agli 800 per 3 mesi. E’ molto utilizzato per rubare informazioni da rivendere ma anche, sopratutto, credenziali in vista di attacchi futuri. Molto spesso è utilizzato per rivendere le informazioni rubate agli autori di ransomware.

Per approfondire > Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della 2° settimana di Febbraio
Le campagne di phishing individuate e analizzate sono state ben 30 ed hanno coinvolto 15 diversi Brand. Si è trattato di un diluvio di attacchi contro il settore bancario e i loro clienti: Intesa San Paolo, MPS, BPER, Poste, Nexi, Che Banca, BNP Paribas, Unicredit ecc.. sono tutti istituti bancari che hanno visto sfruttare il proprio brand a fini di furto dei dati e delle credenziali di accesso all’home banking. Sul podo dei brand più sfruttati Intesa San Paolo, MPS e in terza posizione (per diffusione) si collocano le campagne generiche, ovvero che non citano specifici brand.

Le uniche campagne di phishing che non hanno riguardato il settore bancario hanno riguardato Facebook, Università, Agenzia delle Entrate e, di nuovo, una serie di campagne per il furto delle credenziali di accesso ad Aruba e altri servizi web ed email.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore più utilizzati dagli attaccanti troviamo una netta predominanza netta, come la scorsa settimana, del formato archivio .ZIP. Secondo e terzo posto rispettivamente per i formati .EXE e .XLS.

Fonte: https://cert-agid.gov.it/

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy