Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana
La scorsa settimana il CERT-AGID ha individuato e analizzato 42 campagne dannose nel cyber spazio italiano. 40 sono state campagne dannose mirate contro utenti italiani, solo 2 sono state invece quelle generiche veicolate anche in Italia.
Le famiglie malware in diffusione sono state 7, nello specifico:
- Emotet che ormai è definitivamente tornato sul podio delle principali minacce informatiche mondiali e conferma la sua diffusione in Italia di settimana in settimana. E' stato veicolato con campagne a tema Resend e Documenti via email: queste contenevano allegati dannosi nei formati Excel .xls e .xlsm e in formato archivio .zip;
- AgentTesla è stato diffuso con cinque diverse campagne, 4 mirate 1 generica. Le campagne email sono stater a tema Pagamenti e il classico schema Delivery del corriere DHL, ma anche il tema Ordine. Il malware è stato veicolato con i formati file .img, .exe, .zip;
- Urnsif è stato diffuso con 3 campagne, di cui una a tema Covid-19. Le email veicolavano allegati archivio .zip protetti da password o il formato Office .doc;
- Formbook è stato diffuso con 3 campagne a tema Ordine, Pagamenti e Documenti. Le email veicolavano una solo tipologia di allegato dannoso, in formato .xz;
- Brata è stato diffuso con due diverse campagne a tema Avviso di sicurezza e Banking. E' stato diffuso soltanto via SMS contenenti il link al download del file APK dannoso;
- BazarLoader torna in diffusione dopo una pausa relativamente lunga. E' stato diffuso con due campagne a tema documenti. Gli allegati dannosi erano in formato .zip e .hta;
- IceID è stato diffuso con due campagne a tema Covid-19. Le email contenevano link a file in formato .zip o .xls.
IceID è un trojan bancario. Ha un'architettura modulare e la capacità di sottrarre le credenziali bancarie agli utenti tramite un attacco MITM (man-in-the-middle). IceID imposta un proxy locale e reindirizza tutto il traffico Internet attraverso questo. Inoltre può scaricare ed eseguire le componenti necessarie a rimanere invisibile. E' dotato di un modulo per la diffusione nella rete, peculiarità raramente osservata in altro trojan bancari.
Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia
Per approfondire > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet
Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia
 |
| Fonte: https://cert-agid.gov.it |
Le campagne di phishing della 1° settimana di Febbraio
Le campagne di phishing intercettate sono state 20 e hanno coinvolto ben 13 brand. Queste hanno interessato quasi esclusivamente il settore bancario. Fanno eccezione soltanto tre campagne, una a tema Outlook, una a tema sanità e una a tema Polizia di Stato.
I brand più sfruttati per il settore bancario sono stati Intesa San Paolo, Poste, Nexi, BPM, Sella, MPS. Continuano le campagne mirate al furto di account email: si registrano 2 campagne di phishing mirate ad account email generici e una campagna mirata contro utenti Outlook.
La campagna di phishing a tema Polizia di Stato è in realtà avvenuta un pò in tutta Europa, ovviamente declinata in Italia a tema Polizia di Stato, nel resto d'Europa a tema Europol. Tutti i messaggi recavano in intestazione i loghi ufficiali di Europol e Polizia ecc... ma il tema era lo stesso: le email fanno riferimento a fantomatici procedimenti penali per detenzione di materiale pornografico e pedopornografico.
Per approfondire > CERT-AGID: EUROPOL ed IBAN europei sfruttati in campagne di scam massive
 |
| Fonte: https://cert-agid.gov.it |
 |
| Fonte: https://cert-agid.gov.it |
Tipologia di file di attacco e vettore
Tra i file vettore più utilizzati dagli attaccanti troviamo una netta predominanza del formato archivio .zip seguito dal formato eseguibile .exe. Si nota, rispetto alle settimane precedenti, un sottoutilizzo dei classici formati Office.
 |
| Fonte: https://cert-agid.gov.it |
Nessun commento:
Posta un commento