lunedì 28 febbraio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Febbraio
In questa settimana il CERT AGID ha individuato e analizzato 52 campagne dannose: di queste 51 sono state mirate contro utenti italiani, 1 sola è stata generica ma veicolata anche in Italia. Le famiglie malware osservate in diffusione sono state ben 11:

  • Formbook scavalca Emotet al primo posto dei malware più distribuiti, dopo settimane di dominio incontrastato. Formbook è stato diffuso con ben 4 campagne: 3 sono state mirate contro utenti italiani, una generica. Tutte erano  a tema Preventivo e Pagamenti. Gli allegati email sono stati in formato 7Z, GZ e DOC;
  • Emotet è stato diffuso solo con campagne mirate contro utenti italiani. I temi sono stati Resend, Documenti e Pagamenti, gli allegato vettore utilizzati invece sono stati il formato archivio .ZIp e i file Excel XLSM e XLS;
  • Urnsif è stato diffuso con tre campagne a tema Inps. Gli allegati email erano tutti formati ZIP contenenti talvolta file HTA e talvolta file VBS;
  • AgenTesla è stato diffuso con tre diverse campagne a tema Ordine e Pagamenti. Gli allegati usati sono stati in formato ISO, R00 e GZ;
  • Qakbot mancava da un pò all'appello. E' tornato in diffusione con due campagne mirate a tema Resedn. Queste contenevano il link per il download di un file .ZIP contenente a sua volta un file XLSB. In alcuni casi, più rari, il link conduceva direttamente al download del file XLSB;
  • StrRAT è stato diffuso con una campagna mirata a tema Contratti. Il file vettore era un file JAR;
  • SmsControllo: il CERT ha osservato una campagna sms di phishing mirata contro utenti bancari italiani. La campagna ha avuto lo scopo di indurre gli utenti a scaricare una app fake di Intesa San Paolo. L'apk dannoso, chiamato  “IntesaSanpaolo-Aggiornamento.apk”, consentiva di leggere e di inviare ad un server tutti gli SMS inviati e ricevuti dal dispositivo compromesso. L'APK dannoso è stato diffuso nell'ambito di una campagna di phishing a tema Aggiornamento mirata contro utenti Intesa SanPaolo;
  • Zenomorph è stato diffuso con una campagna SMS a tema bancario. Anche in questo caso il link nell'SMS indirizzava al download di un file APK;
  • Lokibot e IceID sono stati diffusi con due sole campagne. Il primo è stato diffuso con una campagna email a tema Contratti veicolante file XLSX. IceID invece è stato diffuso con una campagna a tema Pagamenti: le email contenevano un file ZIP contenente al suo interno un file VBS;
  • HermeticWiper è invece sbarcato in Italia. Parliamo del wiper che è stato diffuso contro le infrastrutture e i siti sensibili ucraini e che ha un solo scopo: distruggere. Il CERT ha reso disponibili gli indicatori di compromissione correlati al ransomware. 

Per approfondire > Hermetic Wiper, il malware usato contro l'Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere.
Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Fonte: https://cert-agid.gov.it/


Le campagne di phishing della 3° settimana di Febbraio
Le campagne di phishing individuate e sottoposte ad analisi sono state 29 e hanno coinvolto ben 18 brand. I brand più sfruttati sono, di nuovo, quelli bancari come Poste Italiane, IntesaSanPaolo, Unicredit, Nexi, BPER. Altri grandi marchi sono stati sfruttati però: in 3 posizione troviamo Amazon, in 6° SKY.  Altri brand che hanno visto sfruttare loghi e riferimenti per campagne di phishing sono stati Wetransfer, Enel, Sky, Virgilio, OneDrive

Immancabili anche le campagne di furto credenziali di servizi email, sicuramente finalizzate a racimolare account da cui far rimbalzare le campagne di phishing. 

Fonte: https://cert-agid.gov.it/


Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore più utilizzati dagli attaccanti emerge il predominio del formato archivio ZIP. Boom del formato eseguibile EXE, seguito dal formato HTA. Torna alla ribalta l'uso di app fake diffusi con APK compromessi. Sembra esserci sempre meno ricorso ai formati Office. 

Fonte: https://cert-agid.gov.it/

Nessun commento:

Posta un commento