Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Aprile

martedì 19 aprile 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose attive nel cyber spazio italiano. Di queste, ben 49 sono state mirate contro obiettivi italiani: soltanto 3 invece quelle generiche ma veicolate anche nello spazio italiano.

11 sono state le famiglie malware individuate in diffusione:

Ursnif è stato individuato in diffusione in 3 campagne miorate a tema Resend e Delivery. Le email veicolavano allegati DOC e XLS. Il CERT segnala di aver scoperto una nuova tecnica di evasione di Ursnif;
AgenTesla è stato in diffusione con 3 campagne mirate contro utenti italiani: le email veicolavano allegati R11 e ZIP;
Formbook è stato diffuso con 3 campagne mirate a tema Pagamenti. Le email avevano allegati R00, ACE e XZ;
Qakbot è stato in diffusione con due campagne a tema Resend e Documenti. Le email contenevano un link che portava al download di un archivio ZIP. Al suo interno un documento XLSB;
SmsGrab è stato diffuso con due campagne mirate a tema Banking e Aggiornamenti. Il malware, pensato per i dispositivi Android, sottrae gli SMS e le invia al server C2;
Guloader torna in diffusione dopo una lunga assenza, con una sola campagna a tema pagamenti. Le email contenevano un link a Onedrive dal quale scaricare direttamente l’EXE del malware.
SMSControllo è stato veicolato con una campagna mirata contro utenti italiani via SMS. Il Malware ruba gli SMS e ha funzionalità di screen sharing;
Snake torna in diffusione con una campagna a tema Ordine: le email veicolavano allegati UUE;
sLoad è sato diffuso con una campagna mirata a tema Pagamenti. Le email contenevano archivi ZIP con VBS;
Lokibot è stato diffuso con una campagna generica, ma attiva anche nello spazio italiano, a tema Documenti. Gli allegati vettore erano file DOC.
QakBot in breve:

Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l’attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Per saperne di più > Ministero transizione ecologica: il sito di nuovo online. Si parla di attacco con il malware Ursnif

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 2° settimana di Aprile
Le campagne di phishing analizzate sono state 15. Il settore bancario si conferma quello più attaccato. Tra i brand sfruttati troviamo

MPS, BNP Paribas, Intesa SanPaolo, BPER, Poste, Unicredito, Findomestic, Creedem e RelaxBanking.
Fuori dal settore bancario, alcune campagne di phishing hanno sfruttato brand come Aruba, Office 365, Zimbra. Si confermano le campagne di phishing finalizzate al furto di account email. Una campagna di phishing in italiano ha invece sfruttato i loghi ufficiali della Polizia di Stato.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Tra i file vettore più utilizzati emerge il predominio del formato archivio ZIP, che dà agli attaccanti il vantaggio del fatto che le soluzioni di sicurezza difficilmente riescono ad analizzare gli allegati compressi al loro interno. Segue il formato APK, a riconferma della pessima settimana vissuta dai dispositivi mobile (visto l’alto numero di campagne malware via SMS). Il primo file Office è al terzo posto ed è il formato DOC.

Fonte: https://cert-agid.gov.it

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy