venerdì 5 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 26/02
La scorsa settimana il CERT-AgID ha individuato e analizzato circa 30 campagne dannose attive in Italia: 2 di queste erano generiche ma veicolate anche nello spazio italiano, 28 invece miravano ad obiettivi italiani. Ben 305 sono stati gli indicatori di compromissione individuati (IoC). 

I malware individuati in diffusione appartengono a 9 diverse famiglie malware. Ecco la panoramica:

  • AgentTesla è stato il malware più diffuso, veicolato in 3 diverse campagne, due a tema Pagamenti e uno a tema Delivery. Gli allegati utilizzati per veicolare il malware sono stati di tipo .ACE, archivio .ZIP e file docuemnto .RTF;
  • ASTesla è stato diffuso con una campagna a tema pagamenti e allegato di tipo .ACE;
  • NanoCore è stato veicolato con una campagna generica che ha coinvolto anche l'Italia. La campagna email è stata a tema Pagamenti con allegato .ISO;
  • TrickBot è stato veicolato con campagna generica, tema Delivery. L'allegato utilizzato era un file .xls contenente la macro dannosa;
  • Qakbot invece è stato diffuso con una campagna mirata contro utenti italiani a tema "Documenti": l'allegato utilizzato era il formato archivio .ZIP;
  • Urnsif invece è stato diffuso con una campagna mirata contro utenti italiani a tema Conferma. L'allegato utilizzato era in formato .XLS. La campagna è durata un solo giorno, con costanti cambiamenti sia dell'allegato che del server  di comando e controllo;
  • Lokibot è stato in diffusione con una campagna a tema Università che ha sfruttato i loghi dell'Università La Sapienza di Roma. L'allegato utilizzato per la diffusione del malware era un archivio .ZIP;
  • FormBook, con una campagna mirata contro utenti italiani a tema Pagamenti, ha visto l'uso di allegati .IMG;
  • Remcos è stato diffuso con una campagna mirata contro l'Italia a tema Pagamenti e con allegato un archivio .RAR.

Nanocore in breve...
NanoCore è stato individuato per la prima volta nel 2013, in vendita nei forum di hacking del dark web. E' un trojan di accesso remoto (RAT), ma ha anche una varietà di funzionalità: funziona come keylogger e password stealer e invia ai propri operatori password e dati utili che riesce a esfiltrare dal sistema infetto. Può anche scaricare altri file dannosi, bloccare lo schermo, rubare file ecc..

Le campagne di phishing della settimana 26/02
I brand coinvolti nelle campagne di phishing analizzate sono stati 13: di nuovo il settore più colpito è quello bancario, IntesaSanPaolo, Poste e Unicredit i brand più sfruttati:

  • IntesaSanPaolo è stata sfruttata con 4 campagne mirate a tema Banking e si conferma il brand più utilizzato dagli attaccanti;
  • Poste, Unicredit, BPM, MPS, BPER e UbiBanca chiudono la panoramica dei brand sfruttate in campagne di phishing a tema Banking;
  • Enel è stato sfruttato con una campagna a tema Energia, annunciando all'utente vittima un falso rimborso di 133.32 euro per ricevere il quale era necessario inserire le credenziali delle carte di credito, ovviamente sottratte immediatamente dagli attaccanti;
  • INPS invece è stato un sfruttato in una campagna di phishing finalizzata al furto di dati anagrafici e estremi delle carte di credito tramite un dominio registrato in Russia;
  • Microsoft, Outlook, Amazon e Tim chiudono il quadro delle campagne. Questi brand sono stati sfruttati in campagne contenenti false comunicazioni afferenti ai vari brand finalizzate al furto delle credenziali di accesso ai servizi relativi. Alcune di queste campagne sono state diffuse anche via SMS



Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si conferma il boom di utilizzo del formato archivio .ZIP, seguito dal formato .ACE. Torna, dopo molto tempo, l'uso del formato documento Rich Text Format  RTF. 

Nessun commento:

Posta un commento