Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
La scorsa settimana il CERT-AgID, ha individuato attive nello spazio italiano, 20 campagne dannose: 14 erano mirate contro obiettivi italiani, 6 invece sono state generiche ma veicolate anche in Italia.
I malware della settimana 11 – 17 settembre 2021
9 sono state le famiglie di malware individuate, per un totale di 12 campagne malware:
- Lokibot è stato diffuso con 3 diverse campagne: una a tema Documenti ha visto l'uso di allegati immagine .ISO, due invece sono stati a tema Università con allegati .ZIP e .XLS;
- Hancitor di nuovo in diffusone con due campagne generiche a tema Documenti: le email contenevano link e allegati .DOC. DI nuovo Hancitor è stato usato come "cavallo di troia" per veicolare CobaltSrike;
- sLoad è stato diffuso con una campagna mirata a tema Pagamenti: la campagna è girata nel circuito PEC e ha visto l'uso di allegati .ZIP. Anche in questo caso, come già accaduto, il CERT ha contrastato la campagna in collaborazione coi provider PEC. Qui l'avviso pubblico rilasciato dal CERT;
- AgentTesla è stato veicolato con una campagna mirata contro utenti italiani a tema Pagamenti: l'allegato usato era in formato .LZH;
- Dridex e Remcos sono stati di nuovo in diffusione con due campagne, una a tema Pagamenti e una a tema Delivery, e veicolati tramite file Excel contenenti macro;
- Vidar è stato invece individuato in diffusione per la prima volta in Italia con una campagna a tema Ordine ed allegati in formato PPAM;
- Qakbot e Oski invece sono stati distribuiti con una campagna a testa, rispettivamente tema Resend e a tema Ordine.
Per approfondire > Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro
Vidar in breve:
Vidar è un malware specializzato nel furto di informazioni: è distribuito principalmente via email o tramite l'installer di software commerciali crackati o tramite software keygen. Mira principalmente alle credenziali salvate nei browser o in altri software. I dati sottratti dai dispositivi infetti sono inviati e raccolti al server di C&C. Oltre alle credenziali dei servizi e dell'home banking, prende di mira anche i wallet di criptovaluta.
 |
| Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 11 – 17 settembre 2021
Le campagne di phishing individuate e analizzate sono state 8, con 6 brand coinvolti.
- IntesaSanpaolo, MPS, Nexi e Poste sono stati i brand più sfruttati nelle campagne di phishing a tema bancario;
- GLS è stata sfruttata per una campagna mirata contro utenti italiani clienti del servizio GLS;
- Email generic: è stata individuata una campagna di phishing generica mirata al furto delle credenziali di accesso agli account di posta elettronica di vari servizi email
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, la fa da padrone il formato archivio .ZIP, seguito dagli immancabili file Office con macro, principalmente .DOC e .XLS. Una campagna ha visto l'uso dei file PPAM di Microsoft Power Point.
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento