Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 11/09
La scorsa settimana il CERT-AgID ha individuato 13 campagne di attacco contro utenti italiani, per i quali l'agenzia ha prodotto ben 321 indicatori di compromissione (IoC). Tra i malware, i più attivi della settimana sono stati FormBook e MassLogger.
MassLogger è un keylogger molto diffuso, acquistabile da chiunque nel dark web alla modica cifra di 45 dollari per una licenza a vita. Questo lo ha reso un malware molto gettonato, uno strumento conveniente ma molto efficace nel furto di dati, sopratutto di dati sensibili e credenziali di accesso. E' distribuito via email, tramite apposite campagne di phishing. Qui è disponibile un approfondimento del CERT-AgID
FormBook invece è un infostealer che ha come caratteristica principale l'estrema facilità di utilizzo: è un malware che, nei fatti, può essere maneggiato anche da attaccanti con scarse competenze tecniche e di programmazione. E' distribuito come malware as a service (MaaS), ovvero viene liberamente affittato su alcuni forum del settore e distribuito. Oltre a esfiltrare dati, può anche eseguire screenshot e quindi spiare gli utenti. Nel tempo è stato migliorato con strumenti e tecniche per eludere o evadere i controlli dei sistemi di sicurezza.
Come presenze sporadiche, ovvero campagne di distribuzione durate solo poche ore, troviamo anche Emotet, QakBot, AgentTesla e Dridex. QakBot in particolare è specializzato in sistemi aziendali e utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.
Le campagne di phishing della settimana 11/09
Tre sono state le campagne di phishing più massive e con più alto tasso di successo: Allianz, Enel e Poste. La campagna di phishing Allianz è stata individuata dal ricercatore di sicurezza JAMESWT: le analisi hanno indicato come fosse una campagna mirata per rubare le credenziali bancarie dei clienti italiani di Allianz. L'attacco inizia con una email vettore proveniente da un falso indirizzo email apparentemente afferente ad Allianz. Nell'email si chiede all'utente di aggiornare i recapiti al più presto e, per farlo, l'utente deve identificarsi tramite un processo di verifica rapido, pena la sospensione del conto: è così che gli attaccanti cercano di convincere le vittime a fare clic sul link contenuto nell'email e ad inserire dati sensibili in un form fake. La pagina alla quale vengono reindirizzati gli utenti è un fake, creata su Aruba il 7 Settembre ed intestata ad un nome inesistente.
Le campagne di Enel e Poste invece hanno usato lo schema classico con email contenente allegato dannoso, con la differenza che per la campagna di Poste è stato usato un dominio compromesso in precedenza, mentre nel caso della campagna a tema Enel è stato registrato e sfruttato un dominio ad hoc.
Metodi e tipologia di file di attacco
Nelle campagne individuate e analizzate nel corso della settimana è stato fatto largo uso di allegati dannosi: 10 campagne presentavano cioè file dannosi allegati via email, principalmente zip, doc, 7z, r01, gz, rar, iso, xls. Solo 3 campagne invece presentavano un link che reindirizzava l'utente ad una risorsa.
Nessun commento:
Posta un commento