giovedì 3 dicembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27/11
La scorsa settimana il CERT-AgID ha individuato e analizzato 14 campagne dannose attive, di cui 2 veicolate anche in Italia mentre 12 erano apertamente rivolte verso obiettivi italiani. 243 sono stati gli indicatori di compromissione individuati,disponibili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono state 7, con Ursnif che, senza alcuna novità, occupa di nuovo il primo posto, seguito da QnodeService e sLoad che ritorna sulla scena dopo mesi di assenza

  • Urnsif è stato rilevato in quattro diverse campagne, a tema Agenzia Entrate e Delivery. Gli allegati correlati sono stati di tipo .zip e .xlsm. Riguardo a Urnsif segnaliamo questo approfondimento;
  • QnodeService è stato individuato in diffusione in campagne in lingua inglese a tema Delivery contenente lo stesso allegato .jar;
  • sLoad è stato rilevato in diffusione in una massiva campagna di spam contro account di posta PEC. L'oggetto contiene la ragione sociale della vittima e la dicitura "Fattire scadute", mentre l'allegato veicolo del malware è un archivio .ZIP. 
  • AgenTesla, Lokibot e Azorult sono stati diffusi con campagne sporadiche e di entità di poco conto,  a tema Pagamenti e Delivery: le tipologie di file correlati sono .zip e .xls. 

sLoad in breve:
sLoad è in diffusione ormai da anni e ha fatto dell'Italia un bersaglio prediletto: scopo principale è quello di raccogliere quante più informazioni possibile dal sistema infetto, compresi screenshot, inviando tutto quello che viene raccolto ad un server di comando e controllo. Tramite il server 2C gli attaccanti ricevono le informazioni e inviano comandi al malware sulle mosse successive da eseguire. Spesso sLoad viene usato come mero malware downloader: una volta raccolte le informazioni sul sistema, viene usato come tramite per installare un secondo payload malware in base al tipo di sistema e quanto può far guadagnare gli attaccanti. 

App fake Immuni: parte 2°
Qualche riga a parte il CERT-AgID la dedica ad una campagna a tema Immuni pensata per veicolare un APK dannoso, ben nascosto dentro una versione fake dell'App di Contact Tracing scelta dal Governo italiano. E' la seconda volta in due settimane, a ribadire che il Covid è un tema ancora molto molto interessante e profittevole per i cyber criminali. 

QnodeService in breve:
QNodeService è un trojan recente, individuato in diffusione a partire dal Maggio di quest'anno. E' programmato in Node.js, un linguaggio di programmazione usato solitamente per sviluppare per Web Server ed usato in rarissime occasioni per produrre malware. In questo caso, per gli attaccanti, è stata una scelta vincente perchè ha dotato il malware di un'alta probabilità di restare invisibile alle verifiche delle soluzioni antivirus. E' un trojan modulare, quindi può ricevere più "moduli" e ampliare il numero e la tipologia di funzioni dannose che può eseguire. La funzione basilare è quella di rubare le credenziali salvate nei browser. 


Le campagne di phishing della settimana 27/11
Di nuovo settore bancario e finanziario preso di mira, mentre aumentano i tentativi di affiancare lo smishing (il phishing via SMS) al phishing classico via email. Tra gli istituti bancari, i brand più sfruttati sono stati IntesaSanPaolo, BNL e Credem, sfruttati in campagne a tema Banking. 

Il brand Aruba è stato utilizzato per veicolare una campagna di phishing finalizzata al furto di credenziali di accesso alle caselle email: l'utente riceve un messaggio contenente un falso avviso di sicurezza che reindirizza su una pagina che chiede i dati dell'utente. 


Tra i temi più sfruttati troviamo "Delivery" al primo posto, seguito da Pagamenti e Banking, quindi Agenzia delle Entrare, Salute e Avvisi di sicurezza. 


Tipologia di file di attacco
Sono state individuate 4 diverse tipologie di allegato dannoso correlate alle campagne analizzate: il formato più utilizzato è il .ZIP, seguito da quello .XLSM


Nessun commento:

Posta un commento