venerdì 2 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20-26 Marzo
Questa settimana il CERT-AGiD ha riscontrato e individuato 32 campagne dannose: di queste, 2 sono state generiche ma veicolate anche in Italia, mentre 30 erano mirate precisamente contro obiettivi italiani. 335 sono stati gli indicatori di compromissione individuati e resi disponibili sul sito ufficiale. 

6 sono state le famiglie di malware individuate e si notano molte novità:

  • IceID è il malware più diffuso della settimana. Sono state individuate ben 7 diverse campagne di diffusione: tutte hanno visto l'uso di allegato in formato archivio .ZIP contenenti documenti .doc dannosi. E' tramite i  .DOC che avviene il download dell'eseguibile di IceID da un repository remoto. I temi delle campagne sono state "Resend", "Sociale" e "Premi";
  • LockTheSystem è invece un ransomware ed è stato veicolato in Italia nei giorni Lunedì 22 e Martedì 23. Questo ransomware è una variante del ransomware Thanos ed è stato analizzato approfonditamente dal CERT AGiD che ha emesso un apposito bollettino. Le 2 campagne di diffusione hanno visto l'uso di allegati .ZIP contenenti file .JS oppure allegati .DOC dannoso;
  • JobCrypter è un altro ransomware veicolato in Italia mercoledì 24 con una campagna a tema "Pagamenti": ha visto l'uso di allegati .ZIP contenenti un file .JS come downloader;
  • FormBook, Guloader e Dridex chiudono la panoramica delle campagne malware individuate: tutte le campagne di diffusione di questi malware sono stati a tema "Pagamenti". 

IceID in breve:
è un trojan bancario dotato di molteplici tecniche di evasione dell'individuazione, compreso l'uso di allegato protetti da password, offuscamento delle parole chiave e uso di DLL che agiscono come downloader di 2-stage. E' dotato di molte funzionalità dannose: è uno spyware, ha funzionalità di furto credenziali e OTP. 

JobCrypter  in breve:
è anche questo un ransomware, tornato in diffusione con la campagna che ha colpito l'Italia la scorsa settimana. Individuato già nel 2017, ha mostrato un periodo di inattività piuttosto lungo poi è stato "rivisto e corretto". Il vettore di attacco sono email di phishing contenenti il collegato ad un URL dal quale viene scaricato un file .ZIP. L'archivio contiene un file JavaScript: è questo a creare e attivaere l'eseguibile del ransomware. Una volta terminata la criptazione dei file, la nota di riscatto viene mostrata come sfondo del desktop. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della prima settimana  20-26 Marzo
Sono stati ben 10 i brand coinvolti nelle campagne di phishing analizzate dal CERT: di nuovo il tema più usato è quello bancario. Continuano a crescere le campagne di phishing veicolate tramite messaggi SMS o Instant Messaging, sopratutto Signal e Whatsapp. Come da tradizione i brand più sfruttati sono stati Intesa San Paolo, Poste e Unicredit:

  • Intesa San Paolo è evidentemente il target preferito dei phisher. Questa settimana sono state rilevate ben 10 campagne di phishing, sia email che via SMS;
  • BRT e Spedire hanno visto il proprio nome sfruttato in due e una campagna rispettivamente. Spedire è una piattaforma per la gestione delle spedizioni;
  • Lidl, Coop e Esselunga hanno visto il brand sfruttato in campagne di phishing a tema Premi veicolate principalmente su Whatsapp o Signal;

Fonte: https://cert-agid.gov.it/

7 sono stati i tempi sfruttati per le campagne dannose sul territorio italiano. Spicca nuovamente il tema Banking, che vede ampliare i canali di diffusione via SMS, Signal e Whatsapp. 

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, spicca indubbiamente il formato archivio .ZIP, spinto sicuramente delle campagne di diffusione di IceID. Seguono gli allegati Office in formato .DOc contenenti macro dannose, chiudono quindi i formati .JS e .XLSM. 

Fonte: https://cert-agid.gov.it/


Nessun commento:

Posta un commento