Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 27 Marzo - 2 Aprile
La scorsa settimana i CERT-AGID ha individuato e analizzato 26 campagne dannose attive: di queste solo 2 sono state generiche ma veicolate anche in Italia, mentre le altre 24 sono state tutte campagne mirate contro utenti italiani. 374 sono stati gli indicatori di compromissione (IoC) resi disponibili.
In totale sono state individuate in diffusione nello spazio italiani 7 diverse famiglie malware. Nello specifico:
- Ursnif è di nuovo il malware della settimana. Diffuso con ben 3 diverse campagne che hanno visto tutte l'uso di allegati .ZIP contenenti file .doc, .xls o .xlsb contenenti macro dannose. I temi di quste campagne sono stati Documenti, Energia e Inps;
- sLoad si piazza al secondo posto con una campagna di diffusione: siamo alla 4° campagna di diffusione nel 2021 e la seconda nel mese di Marzo. Il malware conferma la predilezione del circuito PEC: i file utilizzati come vettore di infezione sono stati archivi .zip contenenti a loro volta un ulteriore file .zip. Su questa campagna il CERT ha pubblicato una apposita news, consultabile qui;
- iceID, AgentTesla, Lokibot, Formbook e Dridex completano il quadro dei malware in diffusione nello spazio italiano. La maggior parte di questi è stata diffusa in campagne a tema "Pagamenti".
Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia
IceID in breve:
è un trojan bancario dotato di molteplici tecniche di evasione dell'individuazione, compreso l'uso di allegato protetti da password, offuscamento delle parole chiave e uso di DLL che agiscono come downloader di 2-stage. E' dotato di molte funzionalità dannose: è uno spyware, ha funzionalità di furto credenziali e OTP.
 |
| Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della prima settimana 27 Marzo - 2 Aprile
I brand coinvolti nelle campagne di phising sono stati ben 12: il settore bancario è inamovibile dal gradino più alto del podio dei settori più colpiti e i brand più sfruttati sono stati Intesa San Paolo, Poste e Paypal.
- IntesaSanpaolo si conferma, come al solito, il target preferito dei cyber attaccanti. Sono state ben 3 le campagne di phishing via email che hanno sfruttato il brand;
- Paypal, Poste, UnipolSai e MPS sono i brand che completano il panorama delle campagne di phishing a tema Banking;
- Amazon, Corriere e Spedire sono stati invece i brand più sfruttati nelle campagne a tema "Delivery": una di queste, generica a tema Corriere, è stata veicolata via SMS, mentre le altre due sono state mirate contro utenti Amazon e Spedire;
- Tiscali, Microsoft, Adobe, Zoominfo completano il quadro delle campagne di phishing, aggiungendo i temi Casella piena, Account sospeso e Documenti. Alcune di queste campagne sono circolate anche via SMS. Scopo delle campagne il furto delle credenziali di accesso degli utenti ai rispettivi servizi.
 |
| Fonte: https://cert-agid.gov.it/ |
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco
Per quanto riguarda i formati dei file usati come vettore, la scorsa settimana ha visto il predominio del formato archivio .zip, seguito dal classici file Office in formato .doc e .xls contenenti macro dannose. Ridotte le campagne che hanno usato file in formato eseguibibile .exe
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento