Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 8-14 Maggio
Questa settimana il CERT-AGID ha individuato e analizzato ben 41 campagne dannose attive: 4 di queste sono state generiche ma veicolate anche in Italia, mentre 37 miravano esplicitamente ad obiettivi italiani. 217 sono stati gli indicatori di compromissione messi a disposizione.
Le famiglie malware individuate in diffusione sono state 7, distribuite con 11 diverse campagne. In dettaglio:
- Qakbot è stato il malware più diffuso, veicolato con tre diverse campagne email ( di cui due mirate contro utenti italiani e attive in data 12 Maggio e 14 Maggio): mancava all'appello in Italia da un mese esatto. Le email contenevano allegati archivio in formato .ZIP contenenti a loro volta un file .XLS. L'unica campagna di diffusione in lingua inglese ha visto l'uso di allegati .ZIP contenenti però file .XLSM;
- Lokibot torna dopo due settimane di assenza, con due diverse campagne. La prima è stata mirata contro utenti italiani, è stata a tema Ordini ed ha visto l'uso di allegati archivio .ZIP contenenti file .ISO. La seconda campagna invece è stata generica ed a tema Banking: il formato vettore era un allegato .DOCX;
- Snake, come Qakbot, mancava all'appello da circa un mese, osservato in diffusione l'ultima volta il 16 Aprile 2021. E' tornato in diffusione con due campagne mirate contro utenti italiani, una a tema Pagamento e una a tema Ordine: l'allegato vettore è un file .ISO;
- sLoad segna la quinta campagna di diffusione che ha visto il contrasto aperto da parte delle forze dell'ordine con il supporto dei gestori delle email PEC: anche questa campagna infatti ha visto l'uso, ormai comune, dell'allegato .ZIP contenente un ulteriore file .ZIP al suo interno, in diffusione via PEC. Sull'ultima campagna di distribuzione di sLoad il CERT ha pubblicato una news specifica;
- AsyncRat ricompare dopo più di un anno di assenza: è stato veicolato tramite allegati .XZ, diffusi nell'ambito di una campagna a tema Ordine;
- ASTesla e Ursnif completano il quadro dei malware in diffusione: ASTesla è stato diffuso con una campagna a tema ordine , veicolato tramite email con allegati .ISO. Urnsif invece insiste ancora sul tema Delivery e gli allegati .XLSM.
AsyncRat in breve:
è un RAT (remote access trojan) che consente di gestire da remoto i sistemi infetti tramite una connessione sicura e criptata. Di per sé, è uno strumento di amministrazione da remoto open source, ma è ormai usato spessissimo dal cybercrime perchè, oltre alla gestione remota, offre funzionalità di keylogging e RDP.
QakBot in breve:
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.
 |
| Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 8-14 Maggio
Le campagne di phishing individuate e analizzate hanno coinvolto ben 13 noti brand: inutile ribadire come il settore bancario sia stato quello più colpito. Ecco la lista dei brand:
- IntesaSanpaolo, Unicredit, ING, Poste si riconfermano come i brand preferiti dai phisher per il tema banking. Intesa San Paolo, Unicredit e ING hanno visto il loro nome abusato, rispettivamente, in 5 diverse campagne. ING e Poste invece hanno visto il loro brand sfruttato "solo" in 4 campagne;
- Findomestic, Nexi, MPS, BNL, UnipolSai completano il quadro dei brand sfruttati in campagne di phishing tema bancario;
- Zimbra, EasyMail, OneDrive, Weebly invece hanno visto sfruttare il proprio brand in campagne mirate, alcune veicolate anche tramite SMS: obiettivo quello di sottrarre le credenziali di accesso ai rispettivi servizi tramite campagne mirate contro gli utenti.
 |
| Fonte: https://cert-agid.gov.it/ |
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco
Tra i file vettore per distribuire malware troviamo una conferma: il formato archivio .ZIP è ancora il preferito per gli attaccanti, seguito dal formato .ISO. Tra i formati file afferenti alla suite Office, i formati Excel .XLS e .XLSM sono di nuovo i più utilizzati.
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento