lunedì 12 settembre 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 - 9 Settembre
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 3-9 Settembre
La scorsa settimana il CERT ha individuato e analizzato 28 campagne dannose: di queste 25 sono state mirate contro obiettivi italiani mentre 3 sono state generiche, ma hanno comunque colpito il cyber spazio italiano.
Sono state 4 le famiglie di malware individuate in diffusione. Soltanto 7 le campagne dannose che hanno diffuso malware:
Formbook è stato diffuso con tre diverse campagne, tutte mirate contro utenti italiani. Le email, a tema Ordine, veicolavano allegati archivi in formato ZIP e LZH.
Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
AsTesla è stato diffuso con due campagne a tema Ordine: le email contenevano allegati GZ. Una campagna ha veicolato AsTesla usando Guloader come downloader.
Per approfondire > ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia;
Sharkbot è stato diffuso tramite link collegati al download di un APK dannoso. La campagna è stata mirata contro utenti italiani e a tema Avvisi di sicurezza. Analisi successive hanno portato a individuare nell'app Miser Phone Cleaner il dropper di Sharkbot;
AgenTesla è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati GZ. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia
SharkBot in breve:
SharkBot è un trojan bancario: mira a credenziali bancarie, ma può anche cancellare e inviare SMS, rispondere a notifiche Messenger e Whatsap. Ha anche funzionalità di keylogging. Il suo dropper è solitamente nascosto in false app antivirus per smartphone Android diffuse sia via SMS sia tramite App Store ufficiali.
Fonte: https://cert-agid.gov.it
Le campagne di phishing della settimana 3-9 Settembre
Le campagne phishing individuate e analizzate sono state 29 ed hanno coinvolto ben 18 brand importanti, la maggior parte afferenti, ovviamente, al settore bancario. Alcune campagne sono invece state mirate alle PA.
Nella top 3 dei brand più colpiti però non figurano brand bancari: i brand più sfruttati sono stati Office 365 e Aruba e solo al terzo posto si trova un "bank generic". Il tema Banking è ovviamente stato il più sfruttato per campagne di phishing mirate al settore bancario, il tema pagamenti è stato sfruttato per diffondere malware come Formbook e AgenTesla e al solito si registrano moltissime campagne finalizzate al furto delle credenziali di account webmail
Fonte: https://cert-agid.gov.it
Fonte: https://cert-agid.gov.it
Tipologia di file di attacco e vettore
I file più utilizzati per diffondere malware sono stati gli eseguibili EXE, quindi il formato archivio GZ e poi HTML. Rispetto alle scorse settimane si registra un netto calo nell'uso di file in formato archivio, quindi file compressi, per la diffusione dei malware.
Fonte: https://cert-agid.gov.it