venerdì 23 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 10 - 16 Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 28 campagne dannose, delle quali 1 sola è risultata generica, mentre tutte le altre erano mirate specificatamente contro obiettivi italiani. 490 gli indicatori di compromissione messi a disposizione. 

7 sono state le famiglie di malware in diffusione, per un totale di 8 campagne di diffusione.
In dettaglio:

  • Flubot si colloca al primo posto tra i malware più diffusi, spinto in Italia via SMS con una campagna a tema Delivery che ha sfruttato il brand DHL. Il CERT-AGID ha pubblicato una specifica analisi su questo malware, consultabile qui. E' già stata però individuata in diffusione la nuova versione, la 4.0: ne abbiamo parlato qui;
  • Snake: scomparso dai radar da moltissimo tempo, Snake è un trojan keylogger storico, tra i primi malware di questa tipologia che ha visto una diffusione di massa. E' stato diffuso nel corso dell'unica campagna internazionale analizzata dal CERT, a tema Ordin;
  • Formbook conferma la propria predilezione per l'Italia con l'ennesima campagna (a tema Pagamenti) contro utenti italiani. L'unica novità è che dopo un primo utilizzo, nelle scorse settimane, di allegati dannosi in formato HTML e JS, Formbook è tornato sui propri passi rispolverando gli allegati in formato ACE;
  • Trickbot è tornato dopo un lungo silenzio, iniziato il 25 Febbraio di quest'anno. E' stato diffuso con una campagna a tema Pagamenti contenente un link ad un allegato archivio .ZIP contenente a sua volta un file XLSB dannoso;
  • Qakbot torna dopo 1 mese esatto in diffusione in Italia. Nessuna novità: la campagna è stata a tema Documenti, i formati usati sono stati un archivio .ZIP contenente un file .XLSM;
  • AgentTesla e ASTesla chiudono il quadro, con due campagne a tema Pagamenti e Conferma. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 10 - 16 Aprile
I brand coinvolti nelle campagne di phsihing sono state 9: inutile ribadire, ma lo ribadiamo, che il settore più attacato è di nuovo quello bancario, mentre i brand preferiti dai phisher sono Intesa San Paolo e Poste Italiane. 

  • IntesaSanPaolo ha visto il proprio brand sfruttato in ben 6 campagne di phishing via email, con link che puntavano su domini appositamente creati;
  • Poste invece è stata usata in 4  campagne a tema Banking: 3 di queste sono state veicolate via email, una via SMS. E' stata individuata anche una campagna a tema SPID;
  • concludono la panoramica delle campagne a tema banking BPER, Unicredit, Nexi, MPS, ING e BPB;
  • LiberoMail: è stata individuata anche una campagna di phishing mirata contro utenti Libero. L'email, a tema Account sospeso, invitavano le vittime a inserire un form fake le credenziali del proprio account per riattivare il servizio. 
Fonte: https://cert-agid.gov.it/


Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
I formati file più usati nelle campagne di attacco la scorsa settimana sono stati .ZIP e .ACE

Fonte: https://cert-agid.gov.it/


Nessun commento:

Posta un commento