venerdì 26 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 13-19 Marzo
La scorsa settimana il CERT-AgID ha riscontrato e sottoposto ad analisi 34 campagne dannose attive nello scenario italiano: 29 di queste sono state campagne mirate contro utenti europei, mentre 5 sono state generiche ma hanno rigurdato anche l'Italia. 338 gli indicatori di compromissione resi disponibili. 

Le famiglie di malware individuate sono state 6, in dettaglio:

  • Ursnif si piazza di nuovo sul podio dei malware più diffusi e taglia un altro traguardo: ha superato il numero di campagne di diffusione di Emotet, ferme a 51 da quando, nel mese di Gennaio, è stata abbattuta la sua infrastruttura. Il CERT esplicitamente ha dichiarato che, rispetto ai dati in loro possesso, da oggi è Ursnif il malware più diffuso in Italia. Data la diffusione, riteniamo utile condividere un approfondito e dettagliato studio del CERT, che ha analizzato tutte le singole componenti del malware: a questo link è consultabile il progetto YAU - Yet Another Ursnif. Questa settimana è stato in diffusione con 4 diverse campagne mirate, due a tema Agenzia delle Entrate, una a tema Delivery e una a tema Resend: gli allegati usati sono stati un archivio .ZIP contenente documenti con macro dannosa;
  • AgentTesla e ASTesla sono stati in diffusione rispettivamente con due e una campagna, tutte e tre a tema Pagamenti: sono stati utilizzati come allegati file .ZIP, .ISO e .XLSX.  
  • AveMaria torna a distanza di un mese con una nuova campagna di email di spam veicolata anche in Italia: tema della campagna Documenti, mentre gli allegati erano .RAR; 
  • Dridex è stato diffuso con una campagna internazionale a tema Pagamenti circolata anche in Italia: le email contenevano allegati di tipo .XLSM;
  • IceID è stato in diffusione per la prima volta in Italia con una campagna a tema Documenti e allegati in formato .XLS. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della prima settimana  13-19 Marzo

I brand sfruttati nelle campagne di phishing analizzati sono stati 10, con una evidente crescita delle campagne a tema Banking finalizzate al furto degli estremi delle carte di credito. Si registra anche una discreta crescita delle campagne di phishing diffuse via SMS (smishing) e tramite instant messaging. Una certezza viene ribadita: IntesaSanPaolo e Poste Italiane si confermano i bran più sfruttati. 

  • IntesaSanpaolo e Poste sono stati  brand più sfruttati per il furto delle credenziali di accesso e dei numeri conto corrente dei rispettivi clienti. Entrambe le campagne sono state diffuse sia via email che via SMS;
  • Sella, MPS, ING, Nexi, Unicredit sono stati gli altri brand sfruttati dalle campagne a tema Banking;
  • Amazon, Netflix e Microsoft completano il quadro delle campagne monitorate dal CERT. Nel caso di Amazon, il brand è stato sfruttato in tre diverse campagne a tema Premi, due veicolate tramite Signal e una tramite Whatsapp. I messaggi contenevano un link che, dopo una serie di redirect, conduce ad una pagina che richiede l'inserimento di dati personali per ricevere il premio. 

Fonte: https://cert-agid.gov.it/


Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, il più utilizzato è stato il formato archivio .ZIP, seguito dal formato Excel .xls contenente macro dannosa.

Fonte: https://cert-agid.gov.it/


Nessun commento:

Posta un commento