Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 20/11
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 36 campagne dannose contro utenti italiani: 6 sono state veicolate anche in Italia, 30 avevano come target l'Italia. Sono stati ben 525 gli indicatori di compromissione pubblicati, consultabili sul sito ufficiale del CERT-AgID.
Le famiglie di malware in diffusione sono state 9, nello specifico:
- al primo posto l'immancabile Urnsif, rilevato in quattro diverse campagne con false comunicazioni del Ministero dell'Economia e Finanza e del Ministero dello Sviluppo Economico. Gli allegati correlati sono stati di tipo .xls e .zip;
- Dridex si colloca al secondo posto, diffuso in campagne a tema "Pagamenti" e "Delivery". Il testo delle email era in inglese, ma la veicolazione è stata massiva in Italia. Gli allegati correlati sono stati di tipo .xlsm e .doc;
- Mekotio mancava all'appello da Settembre. Questa settimana è stato diffuso con due campagne contenenti falsi avvisi del Ministero delle Infrastrutture;
- seguono poi AgentTesla, Lokibot, Qrat, Avemaria e MassLogger, attivi in sporadiche campagne a tema "Pagamenti", fatta eccezione per MassLogger e Avemaria, che hanno invece sfruttato i temi "Acquisti" e "Delivery". La quasi totalità di queste campagne ha usato archivi .zip, Qrat ha utilizzato invece file .jar
Mekotio in breve:
è un trojan bancario capace di ottenere la persistenza sul dispositivo infetto: ha funzionalità che gli consentono di aprire backdoor, estrarre e rubare credenziali, rubare criptovalute dai wallet. Ha anche funzionalità di infostealer: raccoglie e invia agli attaccanti informazioni quali le configurazioni del Firewall, i dettagli del sistema operativo, i privilegi di amministrazione di ogni utente e lo stato delle soluzioni di sicurezza presenti.
Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest'anno: il nome viene da una stringa di codice del malware stesso. E' un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.
Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 20/11
Tra le campagne di phishing individuate spiccano quelle a tema "Banking", seguite nella classifica del numero di individuazioni, da campagne a tema PayPal e Outlook:
- IntesaSanPaolo e BNL sono state sfruttate per campagne dannose non solo via email, ma anche via SMS: il testo delle campagne era in italiano con link a pagina di phishing;
- Unicredit e Credem sono gli altri due brand sfruttati nel contesto delle campagne a tema "Banking";
- la campagna a tema PayPal è stata veicolata solo tramite SMS;
- è tornata anche la campagna a tema Polizia di Stato: l'email reca un sollecito al pagamento di una multa online su un dominio falso appositamente registrato, ovvero poliziadistato[.]site. E' la terza campagna di questo tipo in 3 mesi, una al mese: cambiano i domini, ma i contenuti sono identici;
- Outlook e Zimbra sono state, loro malgrado, protagoniste di email dannose scritte in italiano. Per il caso di Outlook, il testo invita ad effettuate un aggiornamento per ottenere spazio di hosting aggiuntivo, mentre nel caso di Zimbra si chiede l'immissione delle credenziali per verificare il limite di archiviazione delle email;
- c'è stata anche una particolare campagna che ha sfruttato il nome dell'App Immuni. Rimandiamo a questo articolo per una analisi più dettagliata.
Fonte: https://cert-agid.gov.it/ |
Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco
Sono state individuate 8 diverse tipologie di allegato dannoso collegate alle campagne analizzate: i formati più utilizzati sono stati .zip in prima posizione, .xls al secondo poi, a seguire .html, .doc ecc...
Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento