venerdì 17 settembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 04 - 10 Settembre
Nel corso della settimana 4-10 Settembre il CERT-AGID ha individuato e analizzato, attive nello scenario italiano, ben 27 campagne dannose: 23 di queste erano rivolte direttamente contro obiettivi italiani, 4 invece sono state le campagne generiche ma diffuse anche in Italia. 354 gli indicatori di compromissione (IOC) che il CERT ha messo a disposizione.

10 sono state le famiglie di malware individuate, veicolate con 13 diverse campagne. In dettaglio:

  • Formbook è stato diffuso con due diverse campagne italiane a tema Fornitura e ordine: le email contenevano allegati dannosi in formato LZH e ZIP;
  • Remcos è stato diffuso con due campagne mirate contro utenti italiani a tema Ordine e una campagna generica: le email veicolavano allegati dannosi in formato ISO e TAR;
  • AgenTesla è stato diffuso con due campagne mirate contro utenti italiani a tema Ordine e scansione: gli allegati dannosi erano in formato 7Z e GZ;
  • Brata è stato diffuso con una specifica contro utenti Android, veicolato verso i clienti Intesa San Paolo. Il CERT ha rilasciato, su questa minaccia, specifico alert che abbiamo riassunto qui;
  • Hancitor è stato veicolato con una generica campagna a tema Documenti: l'email conteneva un link xche reindirizzava al download di un file in formato DOC. Ancora, come già osservato, Hancitor è stato usato per veicolare CobaltStrike;
  • Lokibot è stato veicolato con una campagna mirata contro utenti italiani che imitava comunicazioni ufficiali del corriere TNT: gli allegati vettore erano in formato ZIP e ISO;
  • Jrat è stato usato per veicolare Vjw0rm tramite campagna mirata contro utenti italiani contenente un file allegato ISO;
  • Dridex è stato diffuso con una campagna mirata a tema Pagamenti: l'allegato era in formato XLSB;
  • 3losh-rat è stato diffuso con una campagna generica a tema Pagamenti e allegati PPT: è la prima volta che questo malware viene veicolato in Italia;
  • Urnisf è stato diffuso con una campagna mirata contro utenti italiani che imitava comunicazione ufficiale di Enel Energia: l'email conteneva un link che conduceva al download di un file XLS con macro dannosa.

Hancitor in breve:
è stato osservato in distribuzione per la prima volta intorno alla fine di Luglio, in due campagne diverse a tema Pagamenti: le email presentavano un link che puntava al download di un file .DOC dotato di macro. E' un malware downloader che però, come dimostrato dalle analisi tecniche, ha anche funzionalità di infostealer. Inizialmente è stato usato per distribuire un nuovo malware, FickerStealer, ma le campagne più recenti lo hanno visto come downloader di CobalStrike (che altro non è che un tool legale di penetration testing usato ormai abbondantemente anche dai cyber criminali).

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 04 - 10 Settembre
Le campagne di phishing analizzate sono state 13 e hanno visto il coinvolgimento di 10 brand: il settore bancario è, ovviamente e nuovamente, quello più bersagliato.

  • IntesaSanpaolo, Banca d’Italia, Allianz e Nexi sono stati i brand sfruttati nelle campagne di phishing a tema bancario;
  • Agenzia Entrate è stata sfruttata in una campagna a tema Rimborso simile ad altre già individuate nelle scorse settimane. Le email imitano comunicazioni ufficiali, con tanto di loghi, dell'Agenzia e contengono un link che rimanda ad una pagina di phishing creata appositamente: millantando un fantomatico rimborso, la pagina cerca di convincere l'utente ad inserire gli estremi della propria carta di credito;
  • Zimbra è stata sfruttata in una campagna indirizzata principalmente contro utenti della Pubblica Amministrazione;
  • Outlook invece è stato sfruttato con due diverse campagne: le due comunicazioni fake allertavano l'utente in un caso di casella piena, nell'altro di sospensione dell'account. In entrambi i casi lo scopo era quello di convincere l'utente a fare click su un link per accedere ad un form per il furto delle credenziali del servizio di posta elettronica;
  • Dropbox è stato sfruttato con una campagna generica a tema Documenti: lo scopo era la sottrazione delle credenziali di accesso del servizio stesso;
  • BRT è stata sfruttata con una campagna mirata contro utenti italiani.
Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore

Tra i file vettore utilizzati per la distribuzione dei malware, la fa da padrone il formato immagine ISO, seguito dai formati archivio .ZIP, TAR e GZ. 

Fonte: https://cert-agid.gov.it/

Nessun commento:

Posta un commento