venerdì 5 febbraio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 29/01
Questa settimana il CERT-AgiD ha individuato  e sottoposto ad analisi 29 campagne dannose: 1 sola di queste era generica e veicolata anche in Italia, mentre le altre 28 sono state mirate contro obiettivi italiani. 155 gli indicatori di compromissione (IoC) individuati. Le famiglie di malware individuate in diffusione sono state 5 e non si registrano novità

  • Urnsif è in diffusione con due diverse campagne che veicolano allegati in formato archivio .ZIP contenenti il classico documento Office con macro dannosa;
  • Emotet è stato rilevato in diffusione con una sola campagna, per una evenienza lieta: il takedown dell'intera infrastruttura di Emotet ad opera di una task force di forze dell'ordine, Europol e EuroJust;
  • AgentTesla, Formbook e Avemaria completano il quadro delle famiglie malware. Le campagne che veicolano Formbook e Avemaria erano in lingua italiana, quindi mirate, mentre quelle di diffusione di AgenTesla era in lingua inglese ma diffusa anche in Italia. 

L'unica particolarità della settimana è la diffusione del malware Oscorp, che il CERT-AgID  non ha inserito tra le campagne perchè non è stato diffuso tramite campagne, ma tramite un dominio che veicolava un apk dannoso. Qui l'approfondimento del Cert-AgID.

Oscorp in breve
E' un malware per Android che, come molti altri malware simili, cerca di convincere l'utente ad installare servizi di accessibilità tramite i quali spiare azioni e digitazioni dell'utente. E' specializzato nel furto di credenziali tramite pagine di phishing mostrate all'utente, ma può anche bloccare lo schermo del dispositivo e catturare audio e video. Grazie al servizio di accessibilità ha anche altre funzioni come quella di keylogger, può disinstallare app e e effettuare chiamate, inviare SMS e perfino rubare cripto valute. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 29/01
11 sono stati i brand coinvolti nelle campagne di phishing: nessuna novità da questo punto di vista, il settore bancario resta quello più colpito, Intesa San Paolo e Poste Italiane i brand più sfruttati. Ecco qualche dettaglio:

  • Intesa San Paolo: il brand è stato sfruttato in ben 6 diverse campagne, tutte a tema Banking;
  • Poste Italiane: conquista il secondo posto nella classifica dei brand più sfruttati con 5 diverse campagne ad hoc finalizzata al furto di credenziali di accesso e degli estremi delle carte di credito;
  • ING, Unicredit, MPS chiudono il quadro delle campagne a tema banking;
  • Enel, TIM, Office365, Lidl e Register sono altri brand sfruttati nel corso della settimana, pur in maniera sporadica. Bersaglio di queste campagne sono state le credenziali delle vittime. 

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/


Tipologia di file di attacco
Per quanto riguarda le tipologie file più usate per veicolare malware, i più usati si registra una vera e propria impennata nell'uso del   formato archivio .ZIP (al primo posto). A seguire i formati archivio .RAR e .7Z, poi .apk e .doc con la macro. 

Nessun commento:

Posta un commento