Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 22/01
Il CERT-AgID ha individuato e analizzato 34 campagne, di 4 generiche diffuse anche in Italia e 30 con il preciso intendo di colpire obiettivi italiani. 368 gli indicatori di compromissione pubblicati. 7 sono state le famiglie Malware individuate:
- Emotet ancora saldamente al primo poso, con 4 diverse campagne. Confermate anche le modalità di diffusione: mail di spam contenenti allegati archivio in formato .ZIP protetti da password e contenenti un file .doc compromesso;
- Urnsif si piazza al secondo posto con 3 diverse campagne di diffusione, a tema Pagamenti, Delivery e Documenti. Le campagne hanno seguito lo stesso schema: un allegato archivio in formato .ZIP contenente un documento office o un XLSM compromesso;
- AgentTesla è stato diffuso con 3 diverse campagne: queste recavano allegati archivio nei formati .7Z o .RAR. Delle 3 campagne, però, una sola era rivolta direttamente contro utenti italiani, le altre invece sono state campagne generiche che hanno riguardato anche l'Italia;
- Lokibot torna attivo dopo un periodo di silenzio: diffuso in due campagne mirate contro utenti italiani, a tema Pagamenti e Delivery, recava allegati di tipo .GZ e .RAR;
- Alien è un nuovo malware specializzato per sistemi Android. E' stato individuato in diffusione entro una versione fake dell'app Immuni;
- chiudono la lista Dridex e Formbook, diffusi entrambi con campagne mirate contro utenti italiani veicolanti allegati in formato .XSLM o .ISO contenenti, a loro volta, un file .exe.
 |
| Fonte: https://cert-agid.gov.it/ |
Alien in breve:
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti. Ha capacità di propagazione su PC e sui dispositivi mobile: spesso si diffonde via SMS dannosi o app mobile fake.
Le campagne di phishing della settimana 22/01
Le campagne di phishing individuate hanno sfruttato il nome di 8 diversi brand: di nuovo il settore più colpito è quello bancario, IntesaSanPaolo e Poste i brand più sfruttati.
- IntesaSanPaolo ha visto il proprio brand sfruttato in 6 campagne mirate contro utenti italiani;
- Poste è stata sfruttata in 5 diverse campagne mirate al furto di credenziali di accesso e degli estremi delle carte di credito: le 5 campagne hanno coperto l'intera settimana;
- Banda d'Italia e Unicredit hanno completato il quadro delle campagne di phishing a tema bancario;
- Enel invece torna con due campagne di phishing, delle quali una molto insidiosa a tema Rimborsi. Entrambe miravano al furto di credenziali di login al servizio Enel: il CERT specifica che queste campagne hanno visto l'uso di Blogspot come entry point, ma con redirect verso domini russi;
- Tim e Findomestic concludono la panoramica, con campagne sporadiche finalizzate alla sottrazione di credenziali.
 |
| Fonte: https://cert-agid.gov.it/ |
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco
Per quanto riguarda le tipologie file più usate per veicolare malware, i più usati sono stati i formati archivio .ZIP (al primo posto) .Rar (al secondo). Seguono i classici documenti Excel con macro dannosa in formato .xlsm. Sottoutilizzati rispetto alla norma, invece, i documenti in formato .doc.
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento