Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 25/09
Anche questa settimana è Emotet il malware più attivo. E' stato distribuito a cadenza praticamente giornaliera con campagne principalmente a tema sanità o pagamento fatture: lo schema è sempre lo stesso, ovvero l'uso di documenti Office .doc contenenti macro dannosa. In alcuni casi il documenti era contenuto in archivio .ZIP protetto da una password indicata nel corpo email.
Al secondo posto dei malware più attivi troviamo Ursnif, diffuso con più campagne. Tra queste, una è stata molto più intensa delle altre, ovvero quella a tema Agenzia delle Entrate.
Nel primo caso, l'email di spam sembra una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di logo ufficiale e link al sito legittimo. L'email, riferente ad alcune "incoerenze" relative al pagamento dell'IVA, contiene un allegato Excel dannoso in formato .XLS.
Segnaliamo anche che è in corso proprio in questo momento, in un'ennesima campagna di diffusione di Ursnif, individuata dal ricercatore JAMESWT poche ore fa: l'email simula una comunicazione ufficiale dell'INPS, contenente un allegato XLS compromesso con macro dannosa.
Update2 #ursnif #gozi #isfb #italy #inps 01_10_2020
— JAMESWT (@JAMESWT_MHT) October 1, 2020
Xlshttps://t.co/i5Fz0s1Aqb
new Dllhttps://t.co/6UME72eyPH
new Url
line.hotelcabosanlorenzo.[com/importante.dll@malwrhunterteam @FBussoletti@AgidCert @guelfoweb@felixw3000 @fumik0_ @FBussoletti @sugimu_sec @sS55752750 https://t.co/qKtHtBeu31
Altri malware individuati in diffusione contro utenti italiani sono stati FormBook, Dridex, MassLogger e l'immancabile AgenTesla. Smokeloader è stato diffuso con una sola campagna a tema Agenzia delle Entrate, a partire dalla giornata di Martedì.
E' stato individuato anche un nuovo malware, chiamato Matiex o 404keylogger: il CERT-AGiD ne ha prodotto una dettagliata analisi, consultabile qui.
Le campagne di phishing della settimana 25/09
Tre la campagne di pshhing, 3 sono state le più attive:
- una a tema Aruba, per la quale Aruba ha diramato un alert ufficiale consultabile qui. L'email avvisa l'utente della scadenza di un dominio, invitando al rinnovo e all'impostazione del rinnovo automatico. La comunicazione è ovviamente falsa: i link contenuti rimandando a pagine fake create ad hoc e hostate su un dominio russo.
- una a tema Wetransfer: l'email simula le comunicazioni reali del servizio. L'utente, convinto di dover ricevere un file di grosse dimensioni, viene reindirizzato ad una pagina fake contenente anch'essa Logo e riferimenti di Wetransfer: tutti i dati inseriti nella pagina fake sono inviati direttamente agli attaccanti.
Metodi e tipologia di file di attacco
Nelle campagne individuate e analizzate nel corso della settimana è stato fatto largo uso di allegati dannosi: i formati file più utilizzati come vettori malware sono stati principalmente zip, doc, jar, gz, rar, src, xls, xlsm, r00 e img. La maggior parte degli allegati dannosi in formato DOC sono correlati a campagne Emotet, mentre quelli in formato XLS sono stati più correlati a campagne Ursnif.
La maggioranza delle campagne individuate presenta allegati dannosi (19), solo 3 campagne invece rimandano con un link alla risorsa. Sotto un esempio di documento Excel .XLS con macro dannosa.
Nessun commento:
Posta un commento