venerdì 16 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 3 - 9 Aprile
La scorsa settimana il CERT-AGID ha individuato e sottoposto ad analisi 19 campagne dannose: 2 di queste sono state generiche ma veicolate anche in Italia, 17 invece miravano direttamente ad obiettivi italiani. 81 gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 3, per un totale di 4 campagne malware:

  • Ursnif è ormai definitivamente il malware più diffuso in Italia, dopo la dismissione di Emotet. E' stato diffuso con due diverse campagne a tema Delivery e Agenzia delle Entrate. Il malware è stato veicolato tramite allegai .xlsm e .xlsb;
  • Formbook ha mostrato una nuova tecnica di diffusione. Anzichè essere diffuso tramite allegati .ZIP, .RAR, .ISO, .IMG è stato in diffusione per la prima volta con un file .HTML contenente a sua volta un Javascript con un lieve livello di offuscamento. Una volta aperto il file .HTML, il codice JS viene eseguito: l'utente visualizzerà quindi una finta pagina di download del servizio Wetransfer che, ad ogni click, renderà in download un file .exe. Il tentativo è quello di far credere all'utente di aver scaricato il documento PDF corretto dal servizio Wetransfer: infatti il nome del file scaricato tenta di confondere la vittima con una doppia estensione (MR-KFIP-M-13878-NEW_ORDER_1400600902634-07.04.20211620.PDF.exe)
  • Guloader era assente da molto tempo dal panorama italiano. E' stato diffuso con una campagna a tema "Ordine" che si è conclusa a inizio settimana. L'email compromessa conteneva un link a un contenuto dannoso messo in download tramite Google Drive.

Guloader in breve
E' una famiglia di trojan downloader: una volta infettato un sistema, Guloader continua a scaricare ulteriori malware e trojan. E' molto usato per distribuire malware in maniera massiva, su larga scala. 

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 3 - 9 Aprile
I brand sfruttati per portare attacchi di phishing sono stati 11: il settore bancario si conferma quello più colpito. Tra i bersagli principali questa settimana troviamo due conferme, ovvero Intesa San Paolo e Poste, mentre subentra al terzo posto dei brand più sfruttati MPS. Continua il trend di crescita delle campagne di phishing veicolate tramite app come Whatsapp, in particolare campagne a tema Premi e Amazon:

  • IntesaSanPaolo è, ancora, il brand più sfruttato, con ben 3 diverse campagne phishing via email
    che ne hanno usato il nome;
  • Poste, MPS, Unicredit e BPB chiudono l'elenco dei brand sfruttati per le campagne contro il settore bancario. Poste e MPS sono state sfruttate in due diverse campagne ciascuna, mentre Unicredit e BPB sono state sfruttate con una sola campagna, rispettivamente. 
  • Amazon e "premi": il brand  Amazon è stato sfruttato in una campagna di phishing via Whatsapp, ma è stata registrata anche una campagna via SMS generica, che, cioè, non ha fatto menzione di alcun brand specifico. 


Fonte: https://cert-agid.gov.it


Fonte: https://cert-agid.gov.it

Tipologia di file di attacco
Per quanto riguarda i formati dei file usati come vettore, la scorsa settimana ha visto il predominio del formato archivio .exe, seguito da allegati Excel in formato .xlsm e .xlsb. 

Fonte: https://cert-agid.gov.it


Nessun commento:

Posta un commento