venerdì 29 luglio 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della 3° settimana di Luglio
La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet.
Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell'APK dannoso;
Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;
SVCReady è stato diffuso con due campagne email, con allegati in formato DOC, a tema Covid19 e Delivery;
Ursnif è stato diffuso con una campagna a tema Agenzia delle Entrate: le email allegavano file XLSM;
AgentTesla è stato diffuso con una campagna generica, ma veicolata anche in Italia, a tema Pagamenti. Le email contengono allegati 7Z;
Snake è stato diffuso con una campagna generica, veicolata anche in Italia, con allegati ZIP;
SmsRat è stato diffuso con una campagna via SMS a tema banking. Il messaggio riporta un link al download di un APK dannoso camuffato da app di sicurezza.
Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.
Per approfondire > Anatomia di SVCReady il nuovo malware di nuovo in diffusione in Italia
Fonte: https://cert-agid.gov.it
Il CERT sottolinea come non vi sia stata traccia di campagne di diffusione di Emotet: nella foto sotto l'andamento delle campagne Emotet negli ultimi 30 giorni
Fonte: https://cert-agid.gov.it
Le campagne di phishing della 3° settimana di Luglio
Le campagne di phishing individuate sono state 15 e hanno coinvolto ben 10 brand. La maggior parte di queste campagne sono state finalizzate al furto delle credenziali di accesso e agli estremi dei conti correnti. Ma sono state registrate anche campagne a tema Unsubscribe finalizzate al furto di account email attivi. Tra i brand più colpiti Intesa San Paolo, Poste, Office 365, INPS ecc...
Fonte: https://cert-agid.gov.it
Fonte: https://cert-agid.gov.it
Tipologia di file di attacco e vettore
Per la prima volta da molto tempo, i formati file archivio non ottengono "la medaglia d'oro": il file vettore più utilizzato è il formato per Android APK, a riconferma del sempre maggiore interesse degli attaccanti per gli smartphone Android degli italiani. Al secondo e terzo posto, 7Z e GZ confermano però che gli archivi restano formati file molto apprezzati per nascondere malware.