martedì 26 aprile 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Aprile


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose, quasi 20 in meno rispetto alla settimana precedente. Il dato che colpisce è che la quasi totalità di queste, ben 34 su 35, sono state campagne mirate contro utenti italiani mentre soltanto una è stata generica ma veicolata anche nel cyber spazio italiano. 

Le famiglie malware in distribuzione sono state 8 e, caso più unico che raro, la medaglia d'oro spetta a Qakbot, che è stato il malware più diffuso. Ecco la lista:

  • Qakbot è stato in diffusione con quattro campagne a tema Resend e Pagamenti. Le email contengono un link che conduce al download di un archivio ZIP. Al suo interno è presente un documento in formato XLSB;
  • Avemaria è stato in diffusione anch'esso con quattro campagne tutte mirate contro utenti italiani. Le email, a tema Ordine o Pagamenti, veicolano allegati dannosi ZIP e IMG;
  • Emotet è stato diffuso con quattro campagne mirate a tema Documenti. Queste hanno avuto due diverse forme: in un caso l'email veicola allegati XLS con macro, nell'altro è allegato un file archivio ZIP (in alcuni casi protetto da password) contenente allegati XLS. Su Emotet ci sono recenti brutte notizie che impongono ai team IT di prestare grande attenzione a questa minaccia, almeno per le prossime settimane;
  • ASTesla è stato diffuso con due campagne a tema Preventivi. Le email veicolano allegati R11;
  • SMSGrab è stato diffuso con due sole campagne, ma anche esse mirate contro utenti italiani, una a tema Banking e una a tema Avvisi di sicurezza. Gli SMS contengono un link che conduce al download di un file APK dannoso. Questo malware sottrae gli SMS e li invia ad un server C&C su Altervista;
  • Formbook non manca mai e anche la scorsa settimana si è presentato con due campagne mirate. Una di queste è stata a tema Pagamenti con allegati XZ, l'altra è stata a tema Ordine con allegati RAR;
  • Brata è stato diffuso con una campagna mirata contro utenti italiani a tema Banking. Gli SMS dannosi contengono un link per il download dell'APK dannoso;
  • AgenTesla è stato diffuso con una sola campagna a tema Preventivo: le email veicolano allegati R00.

Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di 202: il nome viene da una stringa di codice del malware stesso. E' un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser. 

Per saperne di più > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 3° settimana di Aprile

Le campagne di phishing analizzate sono state 15 e hanno coinvolto 11 diversi brand. Per la prima volta probabilmente negli ultimi anni, le campagne contro il settore bancario non sono le più numerose anzi. Tra tutte quelle analizzate soltanto due hanno riguardato il settore bancario (brand coinvolti Unicredit e Intesa San Paolo) mentre tutte le altre hanno mirato quasi esclusivamente all'esfiltrazione / furto di credenziali di accesso a servizi vari e webmail. 

Tra i brand coinvolti troviamo Officee365, Aruba, OneDrive, Zimbra, Dropbox e Amazon.

Fonte: https://cert-agid.gov.it

Resta che il tema Banking è stato il più utilizzato dalle campagne dannose. Ad esempio sono a tema bancario le quattro campagne di phishing che hanno veicolato malware per Android. Sia SMSGrab che Brata sono stati diffusi appunto in campagne relative al banking. 

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Tra i file vettore più utilizzati emerge il predominio del formato archivio ZIP, che dà agli attaccanti il vantaggio del fatto che le soluzioni di sicurezza difficilmente riescono ad analizzare gli allegati compressi al loro interno. Seguono i classici formati Excel XLSB e XLS con macro dannosa. Il formato APK si piazza al quarto posto: come la settimana precedente, anche quella appena trascorsa conferma il trend di rischio per i dispositivi mobile con sistema operativo Android. 

Fonte: https://cert-agid.gov.it

Nessun commento:

Posta un commento