Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 20 - 26 Novembre
La scorsa settimana il CERT ha individuato e analizzato 44 campagne dannose: 38 di queste sono state mirate contro obiettivi italiani, mentre 6 erano generiche e veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 8, diffuse con 14 diverse campagne. Ecco il dettaglio:
- Formbook è stato diffuso con 4 campagne diverse. I temi sono stati Ordine e Pagamenti: le email veicolavano allegati Office in formato .DOC e .XLSX;
- Dridex è stato diffuso con 4 diverse campagne, due mirate contro utenti italiani e due generiche a tema Pagamenti e Premi: le email veicolavano allegati in formato .XLB e .XLS;
- Urnsif è stato veicolato con una campagna a tema Energia: l'email recava una finta bolletta in formato .XLS;
- Lokibot è stato diffuso con una campagna a tema ordine: le email contenevano allegati in formato archivio .ZIP;
- Emotet torna dopo dieci mesi di inattività. Rinato dalle proprie ceneri, torna in diffusione anche in Italia, con una campagna a tema Documenti: le email recavano allegati .ZIP;
- sLoad si conferma in diffusione mirata in Italia. La nuova campagna di diffusione, a tema Documenti e con allegati .ZIP, circolava via circuito PEC: è stata contrastata grazie alla collaborazione tra il CERT e gestori di servizi PEC;
- Qakbot è stato diffuso con una campagna a tema Resend: le email contenevano un link ad un file archivio .ZIP;
- AgentTesla è stato diffuso con una campagna a tema pagamenti: le email contenevano allegati in formato .IMG.
Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
Per approfondire > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet
Per approfondire > Utenti italiani sotto attacco: due campagne di email di spam distribuiscono il malware Agent Tesla
 |
| Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 06 - 12 Novembre
Le campagne di phishing analizzate sono state invece 30: 15 i brand coinvolti.
- Poste, BPER, MPS, Paypal, Intesa Sanpaolo, Mediolanum, Nexi, Compass sono stati i brand più sfruttati nelle campagne di phishing: un vero bombardamento a tappeto contro il settore Banking;
- Webmail Generic: continua l'ondata di attacchi finalizzato al furto delle credenziali di accesso ai servizi email. Qualcuno sta "accumulando" account compromessi, fatto che induce a pensare a future campagne dannose veicolate tramite questi account;
- Aruba ha visto il proprio brand sfruttato in due campagne, una a tema Pagamenti e una a tema Aggiornamenti. La finalità è il furto di credenziali;
- Outlook ha visto una campagna a tema Informazioni mirata al furto delel credenziali di Outlook Web App;
- Microsoft è stata sfruttata in una campagna a tema Documenti mirata al furto delle credenziali dei servizi Microsoft;
- si registra una campagna mirata, a finalità di truffa economica, verso i clienti di Prima Assicurazioni;
- DHL ha visto il proprio brand sfruttato nella classica campagna a tem delivery mirata al furto degli estremi delle carte di credito;
- SKY infine ha visto il proprio brand coinvolto in una campagna a tema Abbonamento, anche in questo caso finalizzata alla sottrazione delle credenziali.
 |
| Fonte: https://cert-agid.gov.it/ |
 |
| Fonte: https://cert-agid.gov.it/ |
Tipologia di file di attacco e vettore
Tra i file vettore preferiti dagli attaccanti, il podio è saldamente in mano ai formati archivio: .ZIP il più utilizzato, .DOC invece guadagna la "medaglia d'argento". Molto utilizzati anche i formati Excel .XLS e XLSX con macro dannosa.
 |
| Fonte: https://cert-agid.gov.it/ |
Canali di diffusione
Riguardo ai canali di diffusione, le email (PEC comprese) restano e si confermano il canale privilegiato rispetto agli SMS
 |
| Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento