Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 11 - 17 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose attive nel cyber spazio italiano. Ovviamente il report del CERT cita la vulnerabilità critica Log4Shell di Log4J, sicuramente la minaccia più pericolosa al momento. Qui i 5114 IoC resi disponibili dal CERT per mitigare questa minaccia.
Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)
3 sono state le famiglie malware trovate in diffusione, alla quale vanno aggiunti però gli attacchi portati tramite Log4SHell per distribuire altri malware (Dridex e non solo).
- Ursnif è stato in diffusione con una campagna a tema Delivery: l'email conteneva allegati in formato XLS contenenti macro dannosa;
- Qakbot è stato in diffusione con una campagna a tema Salute: l'attacco è stato portato sfruttando un account compromesso di una Pubblica Amministrazione. Le email contenevano allegati in formato archivio .ZIP;
- Brata è stato diffuso tramite un sito fake fotocopia del Play Store di Google. Qui era proposto al download un APK presentato come soluzione antivirus chiamata "isecurity". L'apk installava invece il malware Brata. Qui l'avviso e gli IoC https://t.me/certagid/239 diffusi dal CERT.
Per approfondire > Dridex, il malware bancario più diffuso in Italia, è l'ennesima minaccia che sfrutta la vulnerabilità di Log4j
QakBot in breve
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.
Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della settimana 11 - 17 Dicembre
I brand sfruttati nelle campagne di phishing sono stati 12 su un totale di 23 campagne analizzate. Ben 7 brand afferiscono al settore bancario:
- Intesa Sanpaolo, Poste, Nexi, Unicredit, MPS, Sella, Findomestic sfruttati ovviamente in campagne a tema banking;
- Webmail generic: continua la tempesta di tentativi di furto credenziali di account email di ogni tipo. È ormai accertato che qualcuno sta accumulando account email compromessi, con ogni probabilità per impiegarli in futuri attacchi;
- Amazon ha visto il proprio brand sfruttato in una campagna a tema Premi finalizzata al furto degli estremi della carta di credito;
- Office 365 è stato sfruttato in più campagne a tema Avvisi di sicurezza allo scopo di sottrarre credenziali di accesso ai servizi Office;
- Aruba ha visto il proprio brand sfruttato in una campagna di tipo "Account sospeso" mirata al furto delle credenziali;
- la denominazione di una università italiana è stata sfruttata per una campagna di phishing mirato contro l'ateneo stesso.
Fonte: https://cert-agid.gov.it/ |
Canali di diffusione
Fonte: https://cert-agid.gov.it/ |
Nessun commento:
Posta un commento