Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 3 settimana di Luglio

venerdì 29 luglio 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 3 settimana di Luglio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Luglio
La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l’Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l’assenza di campagne di distribuzione di Emotet.

Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell’APK dannoso;
Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;
SVCReady è stato diffuso con due campagne email, con allegati in formato DOC, a tema Covid19 e Delivery;
Ursnif è stato diffuso con una campagna a tema Agenzia delle Entrate: le email allegavano file XLSM;
AgentTesla è stato diffuso con una campagna generica, ma veicolata anche in Italia, a tema Pagamenti. Le email contengono allegati 7Z;
Snake è stato diffuso con una campagna generica, veicolata anche in Italia, con allegati ZIP;
SmsRat è stato diffuso con una campagna via SMS a tema banking. Il messaggio riporta un link al download di un APK dannoso camuffato da app di sicurezza.
Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Per approfondire > Anatomia di SVCReady il nuovo malware di nuovo in diffusione in Italia

Fonte: https://cert-agid.gov.it

Il CERT sottolinea come non vi sia stata traccia di campagne di diffusione di Emotet: nella foto sotto l’andamento delle campagne Emotet negli ultimi 30 giorni

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 3° settimana di Luglio
Le campagne di phishing individuate sono state 15 e hanno coinvolto ben 10 brand. La maggior parte di queste campagne sono state finalizzate al furto delle credenziali di accesso e agli estremi dei conti correnti. Ma sono state registrate anche campagne a tema Unsubscribe finalizzate al furto di account email attivi. Tra i brand più colpiti Intesa San Paolo, Poste, Office 365, INPS ecc…

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Per la prima volta da molto tempo, i formati file archivio non ottengono “la medaglia d’oro”: il file vettore più utilizzato è il formato per Android APK, a riconferma del sempre maggiore interesse degli attaccanti per gli smartphone Android degli italiani. Al secondo e terzo posto, 7Z e GZ confermano però che gli archivi restano formati file molto apprezzati per nascondere malware.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy