venerdì 30 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 17 - 23 Aprile
Nel corso della settimana, il CERT ha individuato e analizzato 42 campagne dannose: solo 4 di queste sono state generiche ma veicolate anche in Italia, mentre le restanti 38 erano mirate contro obiettivi italiani. Oltre 550 gli indicatori di compromissione individuati. 

Le famiglie malware individuate sono state 8, circolanti con 16 campagne complessivamente. 

  • Urnsif: torna a conquistare il podio nella classifica dei malware più diffusi. E' stato in diffusione con ben 5 campagne a tema Energia, Documenti e torna il tema Covid19. Gli allegati correlati sono stati di varie tipologie, principalmente .zip, .xlsx e .doc;
  • Formbook si piazza al secondo posto della classifica. Tre sono state le campagne di diffusione, tutte a tema pagamenti. Gli allegati dannosi erano nei formati .rar, .zip e .xlsx;
  • Flubot continua a bersagliare senza sosta utenti Europei: dopo le campagne contro utenti spagnoli, tedeschi, ungheresi e inglesi. Per quanto riguarda l'Italia, il nostro CERT ha individuato ben due campagne, tutte via SMS,  finalizzate a veicolare la nuova versione, la 4.0, del malware Flubot. Data la rischiosità di questo malware, il CERT ha prodotto uno specifico approfondimento, consultabile qui;
  • AgentTesla si conferma un abituè del cyber spazio italiano, diffuso in due diverse campagne a tema pagamenti: gli allegati dannosi erano in formato .gz e .r16. 
  • Mekotio mancava all'appello in Italia da oltre 5 mesi. Torna in diffusione con una campagna a tema legale: il corpo mail conteneva un link per il download di un file archivio .zip contenente a sua volta un file .msi;
  • Dridex è stato diffuso con una campagna internazionale a tema pagamenti e allegati .xls.. 
  • Chiudono l'elenco, i malware Remcos (campagna a tema ordine e allegati .iso) e StrRAT, un nuovo malware diffuso con campagne a tema Pagamenti e allegati .jar.

Mekotio in breve:
è un trojan bancario attivo dal 2015. Mostra insistentemente finestre pop-up fake alle vittime, cercando di trarle in inganno e portarle a divulgare dai sensibili e credenziali. Inizialmente nato per colpire i clienti degli istituti bancari dell'america latina, per poi internazionalizzarsi sempre più. Oltre a garantirsi la persistenza sui sistemi (con apposite chiavi Run oppure con file .lnk nella cartella startup), presenta diverse funzionalità tipiche delle backdoor. 

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 17 - 23 Aprile
Sono stati ben 13 i brand coinvolti nelle varie campagne di phishing individuate. Nulla di nuovo: il settore bancario è quello più colpito, Intesa San Paolo, Poste Italiane e ING i brand più sfruttati.

  • IntesaSanPaolo ha visto il proprio brand sfruttato in ben 6 diverse campagne di phishing con link che puntavano ad appositi domini;
  • Poste segue con due diverse campagne a tema banking veicolate via email, ma anche una a tema delivery diffusa però via sms;
  • ING è stata sfruttata in tre campagne a tema banking via email, con link a domini registrati appositamente per le campagne di phishing. Le pagine presentano form che richiedono dati sensibili del proprio account / dati del conto corrente.
  • BPER, Unicredit, Nexi chiudono l'elenco dei brand sfruttati in campagne a tema baking; 
  • LiberoMail, Zimbra, Outlook e Virgilio - sfruttati con campagne di phishing a tema Accont sospeso, casella piena o riattivazione. Tutte le campagne sono state finalizzate al furto delle credenziali degli account dei relativi servizi;
  • WeTransfer, eBay e Amazon chiudono l'elenco delle campagne di phishing individuate

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/


Tipologia di file di attacco
Nel corso della settimana sono stati individuati ben 11 diversi formati file: boom dei file .doc, seguiti dal formato archivio .zip. 

Fonte: https://cert-agid.gov.it/



Nessun commento:

Posta un commento