Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 24 - 30 Aprile
Questa settimana il CERT-AgID ha individuato e analizzato 39 campagne dannose: una sola generica ma veicolata anche in Italia, mentre 38 sono state mirate contro obiettivi italiani. Addirittura 504 sono stati gli indicatori di compromissione messi a disposizione.
Sette sono state le famiglie malware individuate, in diffusione con 17 diverse campagne malware. Ecco i dettagli:
- Flubot: si conferma corretto l'alert lanciato tempo fa dal CERT-AgID: Flubot è in distribuzione con una ondata, una vera propria ondata, di SMS finalizzati alla diffusione dell'apk malevolo. Una breve descrizione del malware è disponibile qui, ma consigliamo agli interessati la consultazione della guida che il CERT ha prodotto su questa minaccia.
- Ursnif è stato individuato in diffusione con tre diverse campagne a tema Documenti: il malware era veicolato con allegati .ZIP;
- Formbook vede la seconda settimana consecutiva di distribuzione, con 3 campagne rispettivamente a tema Pagamenti, Delivery e Ordini. Sono stati usati, per la diffusione, i formati archivio .ZIP e .RAR.;
- AgentTesla è stato diffuso con due campagne a tema Pagamenti: due i formati file in uso come vettori, ovvero allegati .GZ e .ZIP;
- Mekotio è stato diffuso con due campagne, una a tema Documenti contenente un link per il download di un file .ZIP e una a tema Pagamenti con un allegato .ZIP contenente a sua volta un file .MSI;
- Lokibot non si vedeva da un mese, ma è tornato in diffusione con una campagna a tema Documenti e un allegato .ZIP;
- Darkside è la new entry della settimana: mai riscontrato in Italia è stato individuato dopo aver compromesso la BCC di Roma.
Le campagne di phishing della settimana 24 - 30 Aprile
Le campagne di phishing hanno riguardato e coinvolto 13 brand. Ancora il settore bancario è quello più colpito, di nuovo Intesa Sanpaolo il brand più sfruttato: stavolta però è in compagnia di Unicredit e ING. Ecco i dettagli:
- Intesa e Unicredit sono state sfruttate con 4 campagne di pshihing a testa: contenevano link che puntavano su domini creati appositamente per il furto dati e registrati tutti molto recentemente;
- ING è stata riguardata da tre campagne di phishing a tema Banking: anche in questo caso l'email conteneva un link a pagine di phising predisposte con un form di inserimento dei dati dell'account bancario / conto corrente;
- BPER, IWBank, Nexi, MPS e Ubibanca completano il quadro delle campagne di phishing a tema banking;
- Account sospeso, Zimbra e Full Inbox sono state campagne di phishing generiche finalizzate al furto di credenziali dei servuzu di posta elettronica;
- BRT e Amazon completano il quadro delle campagne di phishing.
Tipologia di file di attacco
Nel corso della settimana sono stati individuati, come file vettore, 5 diverse tipologie: capofila per numero di individuazioni il formato archivio .ZIP, seguito dal formato .APK spinto dalle massive campagne SMS di Flubot.
Nessun commento:
Posta un commento