venerdì 19 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 6-12 Marzo
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi ben 28 campagne dannose attive: 24 di queste sono state mirate contro obiettivi italiani mentre 4 sono state generiche, ma veicolate anche nel cyberspazio italiano. Gli indicatori di compromissione (IoC) messi a disposizione sono stati 385. 

Le famiglie malware individuate in diffusione sono state 5, con LokiBot che conquista lo scalino più alto del podio. 

  • Lokibot è stato individuato in diffusione in 3 diverse campagne a tema "Pagamenti", " Delivery" e, caso più unico che raro per Lokibot, "Banking". Lokibot è stato diffuso tramite allegati in formati poco consueti come GZ e R13, mentre la campagna a tema Banking ha visto l'uso di allegati .ZIP ed ha sfruttato il brand Intesa SanPaolo. In dettaglio questa campagna ha visto l'uso di allegati ZIP contenenti un file ISO contenente, a sua volta, un'eseguibile .EXE. Il CERT-AGID ha pubblicato un report specifico su questa campagna https://cert-agid.gov.it/news/lokibot-veicolato-con-falsa-email-intesasanpaolo/
  • QakBot è stata diffusa con due campagne di spam, una mirata contro utenti italiani e una generica: i temi della campagna sono stati "Documenti" e "Informazioni" e gli allegati in uso sono stati nei formati .ZIP e .XLS;
  • Dridex invece è circolato con due campagne, entrambe internazionali ma veicolate anche in Italia. Il tema della campagna è stato "Pagamenti", gli allegati dannoso invece i classici allegati .XLSM contenenti una macro dannosa;
  • Ursnif scende molto nella classifica dei malware più diffusi, dato che è stato individuato in una sola campagna mirata contro utenti italiani a tema "Documenti": gli allegati usati sono stati archivi .ZIP contenenti a loro volta un file .DOC con macro dannosa;
  • Netwire invece torna a distanza di un mese con una nuova campagna contro utenti italiani a tema "Pagamenti": allegati utilizzati .ZIP e documenti .XLSM. 
Lokibot in breve: 
LokiBot ha molte funzioni, oltre al furto delle credenziali. Ad esempio, appena "dentro" Android, apre il browser e scarica un URL dal quale verrà installato un proxy SOCK5 per reindirizzare il traffico in uscita. Può rispondere automaticamente agli SMS e inviare altri SMS ai contatti della vittima: nella quasi totalità dei casi si tratta di SMS di spam usati per infettare nuovi utenti. Infine può mostrare false notifiche provenienti da altre app. Questa funzionalità serve a ingannare gli utenti facendo loro credere di avere ricevuto del denaro sul proprio conto bancario e per indurli quindi ad aprire l'app di mobile banking. Quando l'utente tocca la notifica, LokiBot mostra una pagina falsa invece dell'app reale: le credenziali di login inserite finiranno nelle mani degli attaccanti. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della prima settimana  6-12 Marzo
Le campagne di phishing hanno sfruttato ben 11 brand: Intesa San Paolo torna nuovamente in testa alla classifica dei brand preferiti dai cyber attaccanti. In generale il settore bancario è stato quello più sfruttato:

  • IntesaSanpaolo, Poste, Unicredit, BPM, BNL, Findomestic, Desio, ING sono stati i brand più sfruttati, tutti in tema Banking: le campagne miravano al furto delle credenziali di accesso e ai numeri di conto corrente dei clienti dei rispettivi clienti;
  • Full Inbox, Microsoft, Enel chiudono le campagne di phishing della settimana.

Fonte: https://cert-agid.gov.it/

I temi sfruttati sono stati 8, col tema Banking che risulta nuovamente quello più utilizzato: solitamente tale tema è sfruttato in campagne di phishing, ma questa settimana c'è stato un incremento dell'uso di questo tema per la diffusione di malware. 


Fonte: https://cert-agid.gov.it/



Nessun commento:

Posta un commento