Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Marzo

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana Marzo

La scorsa settimana il CERT-AGID ha individuato e analizzato 38 campagne dannose attive nel cyber spazio italiano. Di queste, ben 36 sono state mirate contro obiettivi italiani; soltanto due invece quelle generiche ma veicolate anche nello spazio italiano. 1018 gli indicatori di compromissione individuati.

10 sono state le famiglie malware individuate in diffusione:

• Emotet è stato il malware più individuato in diffusione, per la terza settimana consecutiva. E' stato diffuso con ben 11 campagne, a tema Resend, Documenti o Pagamenti. Tutte le email contenevano un file archivio .ZIP con, al suo interno, documenti in formato XLSM o XLS. A loro volta questi erano usati per scaricare la DLL di Emotet. Analisi sui server C&C del malware hanno portato alla luce il fatto che alcuni di questi sono ospitati su hosting italiani;
• Brata è stato in diffusione con 3 diverse campagne a meta Banking e una a tema Avvisi di Sicurezza. E' stato diffuso via SMS contenenti un link che rimandava al download in un file in formato APK;
• Formbook è stato diffuso con 2 campagne, una mirata su utenti italiani e una generica ma veicolata anche in Italia. Entrambe le campagne sono state via email, a tema Pagamenti o Documenti con allegati di tipo ZIP o CAB. I ricercatori del CERT hanno notato come al campagna che ha fatto uso del file vettore CAB distribuisse anche un secondo CAB contenente, a sua volta, il malware Nanocore;
• Qakbot è stato diffuso con due campagne mirate contro utenti italiani, a tema Resend. Le email contenevano il link per il download di un archivio ZIP contenente un documento XLSB con macro dannosa;
• AgenTesla è stato diffuso con due campagne mirate, a tema Pagamenti. Le email veicolavano allegati in formato GZ e IMG;
• Snake è stato diffuso con una campagna a tema Ordine veicolata via email. Le email contenevano allegati ZIP con, al loro interno, un file esegubile EXE con funzionalità di dropper. Questo scarica un file PE da un repository remoto.
• Nanocore, come detto prima, è stato diffuso in un'unica campagna assieme al malware Formbook;
• Avemaria è stato diffuso con una campagna italiana a tema preventivo. E' stato diffuso via email contenenti allegai ZIP;
• Ursnif è stato diffuso con una sola campagna a tema pagamenti. E' stato diffuso via email contenenti allegati XLS;
• WarzoneRat è stato diffuso con una campagna email a tema Delivery. Le email contenevano allegati XLS.
  

QakBot in breve:

Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

Per approfondire > Nuovo malware per il furto dati arriva in Italia con una campagna di attacco contro clienti Intesa San Paolo: ecco BRATA

 

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 4° settimana Marzo

Le campagne di phishing individuate ed analizzate sono state 11. I brand coinvolti sono stati 6, tutti afferenti al settore bancario. Alcune di queste campagne sono circolate via SMS, una perfino tramite circuito PEC.

I brand sfruttati sono stati:

• Intesa San Paolo, MPS, POSTE e Allianz per quanto riguarda il settore finanziario;
• si registra l'ennesma campagna "webmail generic" finalizata al furto di credenziali di accesso a ad account email;
• Aruba. 

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

 

Tipologia di file di attacco e vettore

Tra i file vettore più utilizzati dagli attaccanti emerge il predominio del formato Excel XLS, con la classico macro dannosa. Segue, e si riconforma come vettore di attacco molto popolare, il formato archivio ZIP, che dà agli attaccanti il vantaggio del fatto che le soluzioni di sicurezza difficilmente riescono ad analizzare gli allegati compressi al loro interno. Al terzo posto il formato libreria DLL e, subito poco fuori dal podio il formato APK: segno che la scorsa settimana Android è stato molto bersagliato da attacchi. 

Fonte: https://cert-agid.gov.it