Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT.
Sono ben 8 le famiglie di malware individuate in diffusione nell'ambito di queste campagne: nello specifico
- Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
- AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
- Formbook è stato individuato con due diverse campagne italiane a tema "Pagamenti" tramite allegati .ZIP e .ISO.
- Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l'Italia: gli allegati dannosi erano in formato .XLS;
- Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
- Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
- anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti.
Le campagne di phishing analizzate hanno coinvolto 14 diversi brand: il settore bancario si conferma di nuovo quello più colpito, ma si assiste ormai a una crescita costante delle campagne a tema PA e i settori Delivery, Finanziario e Assicurativo.
- IntesaSanPaolo si conferma, tristemente, al primo posto dei brand più sfruttati per il tema Banking;
- Poste Italiane, BNL, Unicredit, Findomestic chiudono il panorama delle campagne a tema Banking;
- UniPol SAI si conferma come il brand più sfruttato per il tema Assicurazioni;
- BRT e TNT invece sono i brand più sfruttati per il tema Delivery. Le campagne che hanno sfruttato questi marchi hanno visto l'uso non solo di false comunicazione email, ma anche di falsi SMS: scopo delle campagne è quello di indirizzare gli utenti verso pagine fake tramite le quali rubare i dati delle carte di credito;
- Microsoft, OneDrive, Amazon, Tim sono stati sfruttati sia in campagne di phishing che di smishing finalizzate al furto delle credenziali dei relativi servizi;
- Agenzia delle Entrate è stata sfruttata nell'ambito di una campagna piuttosto insidiosa che prometteva un rimborso di 136,99 euro da parte dell'Agenzia stessa. Per "ricevere il rimborso" l'utente viene invitato a compilare un form che, guarda caso, prevedeva anche l'inserimento dei dati della carta di credito e del CVV, oltre che quello dei dati generici;
- chiude la lista dei brand Aruba, sfruttata in una campagna a tema pagamenti che reindirizzava l'utente verso una pagina fake di pagamento per il presunto rinnovo del servizio.
 |
| Fonte: https://cert-agid.gov.it/ |
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si registra il boom di archivi in formato .ZIP. Seguono al secondo posto file in formato .exe e .xls., quindi i file .xlsm.
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento