Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Maggio

lunedì 16 maggio 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Maggio
La scorsa settimana il CERT-AGiD ha individuato e analizzato 57 campagne dannose: è quasi record (negativo, purtroppo) e sicuramente una netta “inversione a U” dato che nella 1° settimana di Maggio c’era stata addirittura una riduzione vistosa delle campagne contro l’Italia. Si registrava, in effetti, l’assenza di campagne di distribuzione di Emotet che invece è tornato in grande spolvero. Delle 57 campagne individuate, 54 sono state mirate contro gli utenti italiani e solo 3 sono state generiche.

Le campagne malware analizzate sono state 16 e hanno distribuito 7 famiglie malware:

Emotet è tornato, con 5 diverse campagne tutte mirate. I temi sono stati Resend e Documenti. Le email veicolavano il malware tramite allegati XLS e archivi ZIP protetti da password con un file LNK. Nel canale Telegram del CERT ulteriori dettagli;
Formbook è stato diffuso con4 campagne, 2 italiane e 2 generiche a vari temi: Pagamenti, Documenti, Delivery (sfruttando il marchio DHL). Le email veicolano allegati ACE e XZ contenenti un file XLSX dannoso. Una delle campagne “non ha funzionato” a causa di errori degli attaccanti: è stata riscontrata una configurazione obsoleta del builder;
AgentTesla è stato diffuso con due campagne: di nuovo sfruttato, in una di queste, il brand DHL. Gli email veicolano allegati ZIP compromessi;
Lokibot torna in diffusione con due campagne a tema Contratti e Documenti. Gli allegati dannosi sono in formato DOC;
SMSGrab e Brata di nuovo a caccia di smartphone Android. Sia la campagna di diffusione di SMSGrab che di Brata sono circolate via SMS. Il testo conteneva il link al download di un file APK apparentemente riconducibile dal nome file a noti istituti bancari italiani;
AsTesla è stato diffuso con una campagna mirata che ha sfruttato il nome e i riferimenti istituzionali di una nota società privata italiana.
Per saperne di più > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 2° settimana di Maggio
Le campagne di phishing individuate sono state ben 41 e hanno coinvolto 17 diversi brand. Si registra un boom di attacchi contro il settore finanziario, in cerca di credenziali di home banking ed estremi di carta di credito. Seguono, come da consuetudine, gli attacchi finalizzati al furto di account webmail.

Fonte: https://cert-agid.gov.it

Parlando di brand, il più sfruttato è stato MPS, seguito da Unicredit, BPER e Poste Italiane. Al 6° posto troviamo il provider Aruba. Altri brand popolari che sono stati sfruttati sono Office365, iCloud, Deutsche Bank, Mediolanum ecc..

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Dopo qualche settimana, i file Office tornano sul podio dei formati file più utilizzati per diffondere attacchi. I file Excel la fanno da padroni, ma al secondo posto si piazza il formato eseguibile EXE. Interessante il 4° posto del formato APK: Android ormai si conferma un bersaglio fisso da parte degli attaccanti.

Fonte: https://cert-agid.gov.it

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy