Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate contro utenti italiani. Record di indicatori di compromissione individuati, ben 774.
Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos:
- Formbook è stato, per la prima volta, il malware più diffuso. E' stato in distribuzione con ben 5 diverse campagne tutte a tema Pagamenti e recanti allegati in formati .zip, .iso, .rar;
- AgentTesla, veicolato con allegati in formato .gz e .zip, è stato in diffusione con 2 campagne entrambe a tema pagamenti;
- Dridex è stato diffuso con due campagne a tema Pagamenti: una di queste campagne è stata mirata contro utenti italiani, l'altra invece era generica veicolata anche nello spazio italiano. Entrambe le campagne hanno visto l'uso di allegato .xlsm;
- Ursnif è stato diffuso con due campagne a tema "Mise", tramite allegati in formato archivio .zip o in formato .doc;
- sLoad torna di nuovo in diffusione nel circuito PEC: il malware viene diffuso attraverso un file .zip con una doppia compressione. Su questa specifica campagna il CERT-AgID ha pubblicato una news specifica consultabile qui;
- Kronos è stato individuato per la prima volta in diffusione in Italia, con una campagna a tema Pagamenti mirata contro utenti italiani: email e allegati sono scritti in italiano, il malware è diffuso tramite file .doc compromesso;
- Qakbot è stato individuato in diffusione con una sola campagna e diffuso tramite allegati .xls. Ricordiamo che Qakbot è affiliato a molte gang ransomware ed è specializzato nella rivendita di accessi abusivi alle reti che riesce ad affittare. Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
Kronos in breve:
Kronos è un trojan bancario individuato per la prima volta in diffusione nel Luglio 2014: è finalizzato all'esfiltrazione e furto di credenziali bancarie e degli estremi delle carte di credito / debito. Nel tempo è stato dotato di meccanismi di elusione delle verifiche delle soluzioni antivirus e anti malware.
Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 12/02
Le campagne di phishing analizzate hanno visto il coinvolgimento di 12 brand. Nessuna novità da questo punto di vista: il settore più colpito resta quello bancario, Intesa San Paolo e Poste i brand più sfruttati. Ecco una breve lista:
- Intesa San Paolo e Poste sono sul podio dei brand più sfruttati, usati in 4 campagne mirate a tema Banking;
- Unicredit e Findomestic si piazzano la secondo posto, con campagne a tema Banking veciolate via SMS (smishing);
- Microsoft è stata sfruttata in due diverse campagne per sottrarre credenziali dei servizi di posta;
- altri brand sfruttati per campagne malevole, a tema vario, sono stati TIM, DHL, Zim, Outlook, WeTransfer, Weebly.
Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, questa settimana si registra il boom di archivi in formato .ZIP. Seguono al secondo posto gli allegati dannosi in formato .doc, quindi al terzo posto .exe, .rar. .xlsm e .iso
Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento