martedì 22 settembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 18/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 18/09
Il Cert-AgID ha riscontrato e condotto analisi su circa 20 diverse campagne di attacco dirette contro utenti italiani, per le quali l'agenzia ha prodotto circa 307 indicatori di compromissione  (IoC). 

Tra i malware più individuati spicca Emotet, che è stato rilevato in distribuzione con ben 5 diverse campagne. E' stato quindi il malware più attivo questa settimana, diffuso col solito schema di distribuzione ovvero attraverso un file .doc contenente una macro dannosa. In alcuni casi il file Office è contenuto in archivio compresso ZIP. Il dato grave è che un repository dove è ospitato il malware è posizionato su un sottodominio compromesso appartenente ad una Pubblica Amministrazione. 

Qakbot, sLoad e Masslogger confermano una presenza sporadica e di poco rilievo, mentre la vera novità è l'individuazione di un nuovo malware che, dopo analisi, è ritenuto un'evoluzione del ben già noto AgentTesla: il Cert-AgID lo ha ribattezzato ASTesla proprio per le somiglianze con AgenTesla. Su questo malware il CERT-AgID ha prodotto un dossier di approfondimento, consultabile qui: ne pubblicheremo un breve sunto nei prossimi giorni. 


Le campagne di phishing della settimana 18/09

Tra le campagne di phishing, quelle più diffuse sono state:

- campagna Aruba: le email, confezionate come comunicazioni ufficiali di Aruba, contengono un link che reindirizza ad un dominio appositamente registrato per questa campagna. La campagna, individuata dal ricercatore JAMEWST, usa email contenenti finti avvisi automatici collegati al mancato pagamento di un ordine: alla vittima viene richiesto di accede all'Area Clienti per completare il pagamento. Il link reindirizza ad una falsa pagina con logo Banca Sella, dove sono richiesti dati finanziari sensibili


- campagna Ministero degli Affari Esteri: le email, a tema Outlook, reindirizzano verso una pagina con logo e dicitura del Ministero degli Affari esteri contenente un falso form. Il dominio usato, ovvero  ms-network-gate[.]com, è già stato registrato in uso in campagne di phishing indirizzate verso dipendenti del Governo della Lituania e di quello dell'Ungheria;


- Poste, Zimbra, Register: le email fake contengono riferimenti e loghi ai relativi brand. Reindirizzano poi a pagine create ad hoc per il furto di credenziali. 

Metodi e tipologia di file di attacco
Nelle campagne individuate e analizzate nel corso della settimana è stato fatto largo uso di allegati dannosi: le campagne presentano cioè file dannosi allegati via email, principalmente zip, doc, jar, gz, 7z, vbs, xls, xlsb, r04. La maggior parte degli allegati dannosi in formato DOC sono correlati a campagne Emotet.

La maggioranza delle campagne individuate presenta allegati dannosi, solo 7 campagne invece rimandano con un link alla risorsa. 

Nessun commento:

Posta un commento