venerdì 6 agosto 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 24 - 30 Luglio
Nel corso delle analisi, sono state individuate in diffusione 3 famiglie di malware, per un totale di 4 campagne malware. In dettaglio:

  • il malware più diffuso è stato Ursnif, con due diverse campagne, una a tema Rimborso e una a tema Documenti. Gli allegati vettore erano in formato .XSLM e .ZIP;
  • StrRat torna in diffusione in Italia dopo tre mesi dalla prima rilevazione. La campagna è stata a tema Delivery, recante un file .JAR come vettore. Le analisi hanno mostrato che il campione diffuso è la versione 1.4 del malware;
  • Lokibot è stato diffuso con una campagna mirata contro utenti italiani: il tema delle email era Ordine, allegato vettore in formato .XLSX.

StrRat in breve:

è diffuso quasi esclusivamente tramite campagne di email phishing via account email precedentemente compromessi. E' un infostealer: ruba le password salvate sui browser, ha funzionalità di keylogging, esegue comandi da remoto spesso usati per concedere all'attaccante i privilegi di amministrazione necessari al pieno controllo da remoto della macchina infetta. Alcune versioni "si travestono da ransomware", aggiungendo al nome dei file l'estensione .crimson, senza però avviare alcuna routine di criptazione.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 24 - 30 Luglio
Le campagne di phishing hanno coinvolto 7 brand: il settore bancario è, sempre e comunque, sul podio dei settori più attaccati, ma sono state individuate e analizzate anche due campagne relative al delivery e uno su un falso aggiornamento del servizio di posta. Tutte queste campagne sono state mirate contro utenti italiani e scritte in italiano:

  • Intesa Sanpaolo, Poste, Nexi e ING sono i brand più sfruttati nelle campagne di phishing a tema bancario;
  • Email Generic: è stata analizzata una campagna di phishing a tema Aggiornamento, veicolata anche verso la Pubblica Amministrazione. Fine della campagna era il furto di credenziali di posta tramite una pagina fake ospitata su un dominio compromesso. Qui il report del CERT-AgID 
  • DHL e BRT hanno visto i loro brand sfruttati in due campagne phishing a tema Delivery. Entrambe le campagne sono state mirate e avevano l'obiettivo di sottrarre le credenziali dei rispettivi servizi.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, la fanno da padrone i formato Excel, in dettaglio .XLSX e .XLSM. Immancabile il formato archivio .ZIP

Fonte: https://cert-agid.gov.it/

Nessun commento:

Posta un commento