martedì 4 ottobre 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 24 - 30 Settembre
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 24 - 30 Settembre
La scorsa settimana il CERT ha individuato e analizzato 20 campagne dannose attive nel cyber spazio italiano: 17 sono state mirate contro obiettivi italiani, 3 invece sono state generiche. Le famiglie malware in distribuzione sono state 6:
AgenTesla è stato distribuito con 4 diverse campagne a tema Informazioni e Pagamenti. Le campagne email sono state 2 generiche e 2 mirate contro utenti italiani. Le email veicolavano allegati GZ, 7Z e IMG. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
Formbook è stato diffuso con due campagne, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati ZIP e ISO. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
Azorult è stato diffuso con due campagne a tema Pagamenti. Le email veicolano allegati ZIP: in queste campagne è stato usato il dropper GuLoader;
Qakbot è stato diffuso con due campagne a tema Resend: il corpo email contiene un link che porta al download di un archivio ZIP che contiene un file ISO. Il file ISO, a sua volta, contiene una LNK che richiama poi una libreria DLL dannosa. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
Unknow: è una campagna ignota legata alla 0-day di Microsoft Exchange chiamata ProxyNotShell;
Lokibot è stato diffuso con una campagna a tema Delivery: le email veicolavano due allegati, in formato archivio RAR e ZIP. I due archivi contengono lo stesso eseguibile.
Azorult in breve
Individuato per la prima volta nel 2016, é un trojan molto diffuso, perché in vendita nelle darknet a bassissimo costo. Tra le varie funzionalità ha anche quella di donwnloader, infatti spesso è usato per diffondere ulteriori malware. E' un malware infostealer, che ruba le informazioni dal dispositivo infetto e le invia al server C&C controllato dagli attaccanti.
Lokibot in breve
LokiBot ha molte funzioni, oltre al furto delle credenziali. Ad esempio, appena "dentro" Android, apre il browser e scarica un URL dal quale verrà installato un proxy SOCK5 per reindirizzare il traffico in uscita. Può rispondere automaticamente agli SMS e inviare altri SMS ai contatti della vittima: nella quasi totalità dei casi si tratta di SMS di spam usati per infettare nuovi utenti. Infine può mostrare false notifiche provenienti da altre app. Questa funzionalità serve a ingannare gli utenti facendo loro credere di avere ricevuto del denaro sul proprio conto bancario e per indurli quindi ad aprire l'app di mobile banking. Quando l'utente tocca la notifica, LokiBot mostra una pagina falsa invece dell'app reale: le credenziali di login inserite finiranno nelle mani degli attaccanti.
Fonte: https://cert-agid.gov.it/
Le campagne di phishing della settimana 24 - 30 Settembre
Le campagne di phishing individuate sono state 8, con soli 7 brand coinvolti. Un pò di fiato per una già martoriata Italia (che questa settimana finalmente esce dal podio degli stati europei più colpiti da ransomware). Il brand più sfruttato risulta essere quello del corriere BRT, seguito da Intesa San Paolo e Poste.
Fonte: https://cert-agid.gov.it/
I temi più sfruttati, anche per diffondere malware, sono stati:
Pagamenti: il tema è stato sfruttato per diffondere AgenTesla, Formbook e Azorult;
Delivery: usato sia per il phishing BRT che per veicolare Lokibot;
Aggiornamenti e Resend, usati rispettivamente per campagne di phishing e il malware Qakbot.
Fonte: https://cert-agid.gov.it/
Tipologia di file di attacco e vettore
I formati file più utilizzati come vettore di attacco sono stati, e non è certo una novità, i formati archivio. I formati ZIP e RAR si piazzano al 1° e 3° gradino del podio: al secondo posto invece si trova il formato immagine ISO.
Fonte: https://cert-agid.gov.it/