giovedì 30 dicembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18 - 24 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 21 campagne dannose: praticamente tutte sono state mirate contro utenti italiani, mentre una sola campagna è stata generica ma veicolata anche in Italia. La principale minaccia, spiegano dal CERT resta comunque la vulnerabilità Log4Shell di Log4j, per la quale sono stati resi disponibili più di 26800 indicatori di compromissione (IoC).

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Per approfondire > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

4 sono state le famiglie malware individuate in diffusione e c'è la conferma definitiva che Emotet è rinato dalle proprie ceneri:

  • Emotet è stato individuato in diffusione  con una campagna che sfrutta comunicazioni fake della Pubblica Amministrazione: nel corpo email un link che punta al download di un file in formato XLS. Alcune di queste email sono state inviate ad account PEC da falsi account PEC;
  • Formbook è stato in diffusione con una campagna a tema Pagamenti: le email veicolano un allegato .ZIP dannoso;
  • Dridex è stato ancora in diffusione tramite la vulnerabilità Log4Shell;
  • Diamondfox è stato in diffusione in Italia con una campagna a tema Covid-19: lo schema di infezione prevede il download di un file .ZIP contenente il malware. Il server di comando e controllo è sul dominio altervista.org.

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

DiamondFox in breve:

DiamondFox è una botnet modulare acquistabile su vari forum dell'undergound dell'hacking. Offre ai suoi acquirenti vari moduli, ognuno dei quali consente una funzionalità diversa. Il modulo principale è uno scraper che sottrae gli estremi delle carte di credito (numero e CVV). Ha anche funzionalità DDOS, può veicolare malware tramite account social (avendo funzionalità di furto dati e credenziali) e ha perfino un modulo per la propagazione via USB.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 18 - 24 Dicembre
Le campagne di phishing sono stet 18 e hanno riguardato 12 diversi brand. Di nuovo, il settore più colpito è quello bancario con numerose campagne che hanno sfruttato brand come Intesa San Paolo, Poste, BPM, Nexi, Findomestic ecc... 

Di nuovo si conferma il diluvio di tentativo di furto credenziali di account email, con campagne generiche rivolte a rubare servizi email di vari fornitori. 



Tipologia di file di attacco e vettore
Tra i file vettore preferiti dagli attaccanti, il podio è saldamente in mano ai formati archivio: .ZIP il più utilizzato, seguito dal formato Excel .XLS.


Fonte: https://cert-agid.gov.it/

Nessun commento:

Posta un commento