Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 23-29 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose attive nel cyber spazio italiano: 28 sono state campagne mirate contro utenti italiani, 7 invece campagne generiche ma veicolate anche in Italia. 438 gli indicatori di compromissione pubblicati.
Le campagne malware analizzate hanno diffuso 5 diverse famiglie ransomware, per un totale di 10 campagne email malware. Ecco le famiglie:
- Dridex è stato diffuso con 3 diverse campagne a tema Pagamenti: le email veicolavano file .XLS e .XLSM con macro dannosa;
- Ursnif è stato diffuso con 3 diverse campagne, mirate contro utenti italiani: le email veicolavano allegati .XLS con macro dannosa;
- AgentTesla è stato diffuso con 2 campagne generiche a tema Ordine e Documenti: le email veicolavano allegati .EXE e .XLL compromessi;
- Qakbot è stato diffuso con una campagna mirata contro utenti italiani a tema Resend: le email veicolavano allegati archivio .ZIP;
- Formbook è stato diffuso con più campagne contemporanee mirate contro utenti italiani: queste erano a tema Pagamenti e veicolavano file in formato .LZH e .DOC.
 |
| Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 23-29 Ottobre
Le campagne di phishing individuate e analizzate sono state 25 e hanno coinvolto 11 brand:
- Intesa Sanpaolo, Poste, IPS, BNL, RelaxBanking, Nexi sono stati i brand più colpiti nelle campagne di phishing a tema bancario;
- è stata analizzata una campagna generica organizzata al fine di rubare accessi a servizi email generici;
- Zimbra e Roundcube sono stati sfruttati con campagne a tema Avvisi di Sicurezza: ovviamente le campagne miravano al furto delle credenziali di accesso alle rispettive email;
- Samsung è stata sfruttata nella più classica truffa email a tema vincita: all'utente veniva richiesto il pagamento di un piccolo importo per ricevere un SAMSUNG Galaxy Z Fold3 5G. Per poter procedere al ritiro del premio, all'utente era richiesto di compilare un form compilato il quale si viene reindirizzati a shop fake dove si possono "acquistare" iPhone di vari modelli. Tutti i dati inseriti nel form erano direttamente inviati agli attaccanti;
- Microsoft è stato sfruttato in una campagna a tema sicurezza per il furto delle credenziali di Outlook;
 |
| Fonte: https://cert-agid.gov.it/ |
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato XLS di Excel: segue il formato EXE e, di nuovo, il formato Excel XLSM. I file Office si confermano i più utilizzati come vettori di attacco.
 |
| Fonte: https://cert-agid.gov.it/ |
Il CERT rende noto anche che la maggior parte delle campagne individuate sono state veicolate tramite canali email, ma sono state intercettate anche campagne via SMS
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento