Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della 1° settimana di Maggio
La scorsa settimana il CERT AGID ha individuato e analizzato 31 campagne dannose. 30 sono state campagne mirate contro utenti italiani, una sola è una campagna generica ma veicolata anche nel cyber spazio italiano. 309 gli IOC individuati.
Le famiglie malware individuate sono state 8, diffuse con 11 diverse campagne: rispetto alla scorsa settimana, sottolinea il CERT, si registra una netta riduzione del numero di campagne. Il perchè potrebbe iumputarsi al fatto che la scorsa settimana non ci sono state campagne di diffusione di Emotet, che invece la scorsa settimana si piazzava al primo posto dei malware più diffusi con ben 7 campagne.
Per saperne di più > Malware e campagne di attacco individuate dal CERT - 4° settimana Aprile: il nuovo Emotet è già sbarcato in Italia
Ecco i malware più diffusi la scorsa settimana:
- AgenTesla è stato diffuso con 3 campagne a tema Pagamenti, Legale e Delivery. Le email veicolano allegato RAR o GZ;
- SmsRat torna di nuovo in diffusione tramite una campagna via SMS a tema banking. L'SMS contiene il link al download di un file APK dannoso, spesso denominato perchè il nome file risulti simile o richiami importanti istituti bancari italiani;
- Qakbot è stato diffuso con una sola campagna a tema Resend: il file dannoso è in formato XLSB, ma non è allegato direttamente in email. Il corpo email contiene infatti un link per il download della risorsa;
- Formbook è stato in diffusione con una campagna a tema Ordine con allegati XLSX. Questi file contengono l'exploit per l'Equation Editor: tutto inutile però, il malware presenta un refuso alla url che impedisce il download, per fortuna delle vittime. Ogni tanto anche i cyber criminali commettono errori;
- Ursnif è stato diffuso con una campagna mirata contro utenti italiani a tema ENEL. L'email veicola un file dannoso in formato XLSM;
- sLoad torna di nuovo in diffusione con una campagna a tema Pagamenti, sempre nel circuito PEC come da tradizione. Le email PEC compromesse veicolavano file in formato ZIP contenenti a loro volta un file VBS. La campagna è stata contrastata efficacemente dal CERT: ulteriori dettagli dal canale Telegram ufficiale.
- Brata è stato di nuovo diffuso via SMS in una campagna a tema Banking. L'SMS contiene il link al download di un file APK compromesso che richiama, nel nome file, una nota banca italiana;
- RedLine è stato diffuso con una campagna generica a tema Documenti: le email veicolavano allegati ZIP dannosi.
Per saperne di più > Anatomia di AgentTesla, lo spyware più diffuso in Italia
Fonte: https://cert-agid.gov.it/ |
Le campagne di phishing della 1° settimana di Maggio
Le campagne di phishing individuate e analizzate sono state 18, con un pari merito tra le campagne di phishing finalizzate al furto di credenziali bancarie con quelle per il furto di account email. Il tema banking resta saldamente al primo posto per le campagne dannose (malware e phishing).
Tra le campagne a tema Pagamenti, il CERT punta l'attenzione su una delle campagne volte alla diffusione di AgenTesla: un caso da manuale di phishing adattivo.
Per saperne di più > L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima
Fonte: https://cert-agid.gov.it |
In fatto di brand, va detto che la scorsa settimana vi sono state principalmente campagne generiche (nel grafico Webmail generic e Bank generic). Il primo brand sfruttato è stato Aruba e non Intesa San Paolo (come di consuetudine), che si piazza solo al 4 posto. Seguono Unicredit e Infocert, a ribadire che ormai il furto account email fa gola agli attaccanti quanto il furto di credenziali bancarie.
Fonte: https://cert-agid.gov.it |
Tipologia di file di attacco e vettore
Tra i file vettore più utilizzati c'è una novità assoluta: il formato APK risulta essere quello più diffuso nelle campagne della scorsa settimana, dimostrando un "ritorno di fiamma" tra i cyber attaccanti e Android. Il resto della classifica non presenta particolari novità: il formato archivio RAR conquista il secondo posto, seguito dal classico XLSB. Netta riduzione delle campagne che sfruttano direttamente il formato eseguibile EXE.
Fonte: https://cert-agid.gov.it |
Nessun commento:
Posta un commento