giovedì 29 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 23/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose ai danni di utenti italiani: 382 gli indicatori di compromissione (IoC) resi disponibili. Le famiglie di malware individuate in diffusione sono state 9, in dettaglio:

  • Formbook: diffuso con due diverse campagne a tema "Pagamenti" e "Conferma" con testo in italiano e con una terza campagna, in in lingua inglese, a tema "Scansione". Per la diffusione del payload sono stati usati allegati email in formato .zip e .rar. 
  • Ursnif è stato il protagonista indiscusso dei primi giorni della settimana, con le classiche email che imitano comunicazioni ufficiali di Inps o Agenzia delle Entrate: l'allegato dannoso utilizzato è in formato .xls protetto da password. Vista la continuità di queste campagne, il CERT-AgID ha prodotto un documento che le raffronta per evidenziare similitudini e differenze.
  • Emotet è stato diffuso con due diverse campagne, a tema "Pagamenti" e "Sociale": le email, con testo in italiano, recavano un file .doc compromesso. 
  • AgentTesla, MassLogger, Dridex, ASTesla, XperRat e Remcos sono le altre famiglie malware individuate in diffusione con campagne specifiche nella settimana scorsa. La loro diffusione non è stata massiva comunque. L'unico fatto degno di nota è che il CERT ha individuato una nuova variante di campagna per ASTesla, scritta in inglese, veicolante documenti dannosi .xlsx e configurata per sfruttare Telegram. 



Le campagne phishing della settimana 23/10
Tre le campagne di phishing individuate, i brand più sfruttati sono stati, di nuovo, Aruba e Poste, con apposite campagne a tema "Pagamenti", "Aggiornamenti" e "Avvisi di sicurezza". Subito dopo le classiche campagne di phishing a tema bancario: sono state individuate, via email ma anche via sms, campagne che emulavano false comunicazioni degli istituti bancari IntesaSanPaolo e MPS a tema "Aggiornamenti" e "Account sospeso". E' stata riscontrata anche una campagna Outlook a tema Aggiornamenti. 

Tipologia di file di attacco
Sono state individuate 9 diverse tipologie di allegato dannoso collegato alle campagne analizzate: tra gli allegati dannosi più individuati spicca il formato Excel .xls, seguito al secondo posto dai formati .zip, .rar e .doc. Seguono i formati .gz, .7z. .xlsm, .xlsx e .r19. 

Gli Indicatori di Compromissione messi a disposizione sono disponibili sul sito ufficiale CERT-AgID.

Nessun commento:

Posta un commento