Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 06 - 12 Novembre
Nel corso della scorsa settimana sono state individuate e analizzate 34 campagne dannose, 30 mirate contro obiettivi italiani e 4 invece generiche ma veicolate anche nel cyber spazio italiano. 361 gli indicatori di compromissione messi a disposizione dal CERT.
Le famiglie malware individuate sono state 7, diffuse con 9 campagne malware. Nello specifico:
- AgentTesla è stato diffuso con due campagne mirate contro utenti italiani. Le campagne sono state a tema Pagamenti, con allegati .ISO e .GZ;
- Dridex è stato veicolato con due diverse campagne, entrambe generiche, a tema Pagamenti. Le email contenevano allegati .XLB;
- Flubot torna dopo 6 mesi di inattività. La campagna utilizza SMS per diffondere APK dannosi;
- Formbook è stato diffuso con una campagna generica a tema Pagamenti: le email veicolavano allegati .ARJ;
- Snake è stato diffuso con una campagna generica a tema Evento: l'email conteneva allegati .GZ;
- Lokibot è stato diffuso con una campagna generica a tema Pagamenti: le email contenevano allegati .ZIP;
- Qakbot è stato diffuso con una campagna mirata contro utenti italiani a tema Resend: le email veicolavano allegati .ZIP.
Flubot in breve:
Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. La versione 3.9, quella diffusa in Italia qualche mese fa, non sfruttava alcuna falla del sistema Android, non eseguiva exploit: l'unico "exploit" è eseguito sulla vittima, che viene tratta in inganno per abilitare l'app dannosa come "servizio di accessibilità". Il malware richiede semplicemente che l'utente abiliti l'app come servizio di accessibilità del dispositivo: abilitare un'app come servizio di accessibilità consente all'app stessa di eseguire azioni al posto dell'utente. Ottenute queste autorizzazioni, Flubot diffonderà ulteriori SMS dannosi e resterà attivo in background. Tutto questo al solo scopo di rubare dal dispositivo e dall'utente quante più informazioni possibile.Per approfondire > Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot
 |
| Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 06 - 12 Novembre
Le campagne di phishing intercettate sono state 25: ben 13 i brand coinvolti.
- Poste, Intesa Sanpaolo, BPER, IPS, Fideuram, BNL sono stati i brand più sfruttati per attacchi di phishing a tema Banking;
- Account Email: sono state invece 3 le campagne mirate al furto delle credenziali di accesso di a servizi email generici;
- Sky è stata sfruttata con una campagna a tema Abbonamento finalizzata al furto delle credenziali dei clienti Sky;
- Amazon ha visto il proprio brand sfruttato per una campagna a tema Premi veicolata via SMS: la finalità era il furto degli estremi della carta di credito;
- Roundcube è stata usata per una campagna a tema Aggiornamenti per il furto delle credenziali di accesso alle email;
- Premi: è stata analizzata una campagna generica a tema "Delivery": il testo della mail riferiva alla consegna di una fantomatica consegna di un iPhone. Scopo reale il furto degli estremi della carta di credito;
- Microsoft è stata sfruttata per una campagna a tema Documenti con il logo DocuSIgn: è stata inviata verso una specifica PA da account email compromessi in precedenza. Mirava al furto delle credenziali di accesso ai servizi Microsoft in uso nella PA.
 |
| Fonte: https://cert-agid.gov.it |
Tipologia di file di attacco e vettore
Tra i file vettore preferiti dagli attaccanti, il podio è saldamente in mano ai formati archivio: .ZIP il più utilizzato, .GZ invece guadagna la "medaglia d'argento". I file Office, solitamente molto utilizzati per diffondere malware tramite macro dannose, sono risultati sottoutilizzati rispetto alla media delle scorse campagne. Nelle campagne analizzate figura soltanto un tipo di file Excel, .XLSB.
 |
| Fonte: https://cert-agid.gov.it |
Canali di diffusione
Riguardo ai canali di diffusione, le email restano e si confermano il canale privilegiato rispetto agli SMS
 |
| Fonte: https://cert-agid.gov.it |
Nessun commento:
Posta un commento