giovedì 17 dicembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 11/12
La scorsa settimana il CERT-AgID ha individuato e proceduto ad analisi di 25 campagne dannose attive nello scenario italiano: 20 di queste prevedevano esplicitamente obiettivi italiani, 5 invece sono state campagne generiche veicolate anche in Italia. Gli indicatori di compromissione (IoC) pubblicati sono 489,consultabili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono soltanto 4 e, almeno questa settimana, non figurano novità:

  • FormBook è stato il malware più individuato, diffuso in 3 diverse campagne email dannose, di cui due a tema Pagamenti, con testo e oggetto in lingua italiana, e una internazionale in lingua inglese a tema Delivery. Le campagne in italiano veicolano allegati .rar e .xlsx, mentre la campagna internazionale ha visto l'uso di allegati archivio .ZIP. Per approfondire: Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

  • Dridex è stato individuato in 3 campagne internazionali diffuse però anche nel cyberspazio italiano: tutte e tre sono state a tema Pagamenti e correlate ad allegati .doc e .xlsm;

  • Avemaria è stato distribuito in 1 sola campagna internazionale, a tema Pagamenti, ma veicolata anche in Italia principalmente contro le Pubbliche Amministrazioni: l'allegato utilizzato è stato in formato .iso, entro il quale è presente il file eseguibile del malware e un file PDF innocuo

  • AgenTesla è stato distribuito all'inizio della settimana con una campagna mirata contro utenti italiani a tema delivery. Correlati alla campagna allegati dannosi in formato .ZIP e .RAR: il malware contenente potrebbe essere una variante di ASTesla, vista la caratteristica forma di comunicazione via bot Telegram. Per approfondire: ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest'anno: il nome viene da una stringa di codice del malware stesso. E' un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 11/12
Le campagne di phishing analizzate sono state 9, la maggior parte delle quali è ancora a tema bancario: i brand più sfruttati sono stati Intesa SanPaolo e Unicredit, Poste Italiane al terzo posto:

  • IntesaSanpaolo, Unicredit e Poste sono stati i brand sfruttati nelle campagne di phishing più attive e massive individuate;
  • BNL, MPS e Paypal seguono con alcune campagne a tema Banking;
  • altre campagne veicolate in Italia ma sporadiche hanno visto l'uso del brand Amazon e testi a tema Storage e Premi: tutte queste avevano il solo scopo di rubare le credenziali di accesso ai rispettivi servizi. Gli utenti venivano reindirizzati verso pagine fake tramite abbreviatori di URL. 

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda le tipologie di file allegati per veicolare i malware, sono stati individuate 6 diverse tipologie: i più utilizzati sono stati i formati archivio .ZIP, .RAR e il file Excel .XLSM. Altri formati usati sono stati .DOC, .ISO, .XLSX. 

Fonte: https://cert-agid.gov.it/


Nessun commento:

Posta un commento