venerdì 11 dicembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 04/12
Nel corso della scorsa settimana il CERT-AGiD ha individuato e analizzato 25 diverse campagne dannose, rivolte contro utenti italiani e veicolate nello spazio italiano: 3 erano generiche campagne, veicolate anche in Italia, 22 invece hanno mirato precisamente obiettivi italiani. Ne sono risultati 386 indicatori di compromissione, disponibili sul sito ufficiale del CERT

Sei le famiglie di malware individuate in diffusione, poche novità e tante conferme:

  • Ursnif si conferma il malware più distribuito, rilevato in 3 diverse campagne: una che ha sfruttato il brand Vodafone, altre due a tema Energia e Informazioni. Gli allegati correlati sono in formato .zip e .xlsm;
  • Dridex si piazza al secondo posto della classifica, individuato in due campagne internazionali a tema Delivery distribuite anche in Italia. Gli allegati correlati sono in formato .xls e .xlsm;
  • XmRig è la novità della settimana: è la prima volta che il CERT-AGiD rileva la presenza di questo miner di criptovaluta. Non è ovviamente distribuito via email, ma tramite browser injection o in conseguenza di precedenti compromissioni;
  • Lokibot, Qabot e MassLogger completano il quadro, in distribuzione con sporadiche campagne a tema Documenti e Delivery. Lokibot e Qabot sono correlati ad allegati in formato .zip, MassLogger invece ad allegati in formato .7z. 

XMrig in breve: il miner
XMRig non è, di per sé, un malware ma un legittimo strumento open source utilizzato per il mining di valuta Monero. Molti antivirus però lo individuano e bloccano come malware perché questo strumento è molto usato in modalità illegale per minare cripto valute sfruttando la potenza di elaborazione delle macchine delle vittime. Questa tendenza si deve al fatto che, per minare criptovaluta, ormai occorre enorme potere di calcolo: gli attaccanti così si sono spinti a cercare di ottenere più potere di elaborazione possibile infettando illegalmente macchine di altri utenti. Le vittime riscontrano gravi riduzioni delle performance del pc, crash di sistema, surriscaldamento, danni alla CPU. 


Le campagne di phishing della settimana 04/12
Ancora una volta il brand più sfruttato per gli attacchi di phishing è stato IntesaSanPaolo: d'altronde la campagne a tema Banking si confermano le più diffuse. In diminuzione il phishing via SMS. Tra le campagne phishing, le principali sono:

  • Intesa San Paolo ha visto ben 10 diverse campagne sfruttarne il brand;
  • Poste Italiane è stata sfruttata in ben 4 diverse campagne a tema Riattivazione Account, Pagamenti, Banking: tutte e 4 miravano alle credenziali di accesso degli utenti Poste Italiane;
  • Zimbra e Outlook sono stati sfruttati in due campagne diverse.



Tipologia di file di attacco
Sono state individuate 4 diverse tipologie di allegato dannoso correlate alle campagne analizzate: il formato più utilizzato è il .ZIP, seguito da quello .XLSM


Nessun commento:

Posta un commento