giovedì 30 giugno 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Giugno
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della 4° settimana di Giugno
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose mirate contro obiettivi italiani. Una sola è stata generica, ma ha interessato anche il cyber spazio italiano. Le famiglie malware in diffusione sono state soltanto 6:
Emotet di nuovo la fa da padrone, distribuito con 7 campagne a tema Resend. Le email recavano allegati archivio in formato ZIP protetti da password. L'archivio contiene file XLS. Nessuno utilizzo di file LNK, fa notare il CERT: la novità della settimana è il template in uso in Italia, come reso pubblico sul canale Telegram;
AgenTesla è stato diffuso con tre diverse campagne a tema Pagamenti, Documenti e Ordine. Le email veicolavano allegati ISO e IMG;
Formbook è stato diffuso con tre campagne, a tema Ordine e Pagamenti. Le email veicolavano allegati in formato DOC, XLSX e XZ;
Lokibot è stato diffuso con l'unica campagna generica analizzata dal CERT. A tema Pagamenti, l'email veicolava allegati dannosi ZIP;
Brata di nuovo in diffusione, ormai è una presenza fissa. E' stato veicolato via SMS a tema Banking: il corpo messaggio riporta un link che conduce al download dell'APK dannoso;
Mailbot: il CERT riferisce di aver pubblicato gli indicatori di compromissione relativi ai malware individuati da F5. Ne abbiamo reso notizia qui
Per approfondire > Brata, il RAT per Android diffuso in Italia, si evolve in minaccia persistente. Ora intercetta gli SMS e le OTP
Fonte: https://cert-agid.gov.it
Le campagne di phishing della 4° settimana di Giugno
Le campagne di phishing individuate e analizzate sono state 14 e hanno riguardato 8 brand. Tra i temi più in voga, il podio è piuttosto scontato: Banking, Resend e Pagamenti. Il tema bancario è stato usato principalmente per veicolare Brata, il tema Resend è stato ampiamente sfruttato da Emotet mentre il tema Pagamenti è stato scelto da Formbook, AgenTtesla e Lokibot.
Fonte: https://cert-agid.gov.it
Tra i brand coinvolti il podio spetta, purtroppo, ad Aruba, Intesa San Paolo e Poste. Va segnalata anche una campagna di phishing "webmail generic" finalizzata al furto delle credenziali di accesso alle webmail.
Fonte: https://cert-agid.gov.it/
Tipologia di file di attacco e vettore
Il file vettore più utilizzato è stato il formato Excel XLS, seguito subito dopo dal classico formato archivio ZIP. Quindi APK, ISO, XLSX.. poche novità, in tema formato file vettore, questa settimana.