venerdì 12 febbraio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 05/02
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 35 campagne dannose: soltanto due di queste sono state campagne generiche distribuite anche nello spazio italiano, mentre 33 hanno preso di mira specificatamente obiettivi italiani. 449 gli indicatori di compromissione resi disponibili. 

7 sono state le famiglie di malware individuate: prima di elencarle però è utile far notare un'assenza che ha grosso peso. Non risultano individuazioni di campagne vettori del malware Emotet: il take down dell'infrastruttura botnet è stato davvero efficace.

  • AgentTesla e ASTesla: in mancanza di Emotet, i malware più individuati sono stati i due della famiglia Tesla, diffusi in 4 diverse campagne a tema Pagamenti con allegati di tipo .GZ, .R01 e .UUE;
  • Qakbot invece è stato diffuso con tre diverse campagne a tema "Documenti". Le email contenevano allegati .XLS contenenti la classica macro dannosa. Gli esperti del CERT fanno notare come Qakbot mancasse alla distribuzione dal 24 Dicembre 2020;
  • Lokibot, Formbook, Netwire e Dridex completano la panoramica sulle famiglie malware individuate la scorsa settimana. Tutte le campagne di distribuzione di queste famiglie hanno utilizzato email in lingua italiana, a parte quella per la diffusione di Dridex, contenente testo, oggetto e allegato in lingua inglese. 

Netwire in breve:
è un trojan infostealer, specializzato cioè nel furto di informazioni. Viene diffuso tramite documenti Excel compromessi, contenenti macro dannosi. Talvolta sfugge all'individuazioni delle soluzioni antivirus e anti malware a causa del fatto che parte del suo codice è altamente offuscato. E' capace di ottenere la persistenza sui sistemi. Una volta attivo sul sistema, ruba le credenziali di Outlook e la cronologia dai browser Internet Explorer, Chrome, Mozilla. Ha funzionalità di keylogging. 


Le campagne di phishing della settimana 05/02

12 sono stati i brand coinvolti nelle campagne di phishing analizzate. Nessuna novità particolare in questo campo: di nuovo il settore più bersagliato è quello bancario / finanziario, di nuovo i brand più sfruttati sono stati IntesaSanPaolo e Poste Italiane. L'unica "novità" è che anche il brand Findomestic è stato usato per campagne di phishing. 

  • Intesa San Paolo ha visto il proprio brand sfruttato in ben 5 diverse campagne, a tema Banking, pensate per il furto di credenziali;
  • Poste segue Intesa con 4 campagne di phishing finalizzate al furto di credenziali accesso e di estremi della carta di credito / debito;
  • Findomestic torna ad essere sfruttata in campagne di phishing, ben 3 solo questa settimana (per un totale di 5 campagne negli ultimi 6 mesi, puntualizzano dal CERT);
  • BNL , MPS, Unicredit, Prestito chiudono l'elenco delle campagne di phishing a tema banking. Si registrano anche campagne di smishing;
  • chiudono la lista Amazon e Outlook, con campagne di phishing sporadiche mirate alla sottrazione di credenziali. 
Fonte: https://cert-agid.gov.it/


Fonte: https://cert-agid.gov.it/


Tipologia di file di attacco

Per quanto riguarda le tipologie di file più usate per veicolare malware, il formato più utilizzato è stato il formato .XLS, seguono i formati .UUE, .R01, .XLSM, .RAR; .GZ. 

Fonte: https://cert-agid.gov.it/

Nessun commento:

Posta un commento