lunedì 23 maggio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Maggio


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Maggio

La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose. Ormai si può dire che sono tutte mirate contro gli utenti italiani: una sola di queste, infatti, è stata generica ma veicolata anche nello spazio italiano, mentre tutte le altre sono state mirate. 

Le famiglie malware individuate in diffusione sono state 7, diffuse con 22 campagne. Capofila Emotet, che torna a primeggiare nel panorama delle cyber minacce contro gli utenti italiani:

  • Emotet è stato diffuso con 14 campagne italiane. I temi sono stati Resend e Documenti. Le email allegavano archivi ZIP protetti da password, contenenti file LNK o XLS. Le campagne hanno riguardato sia utenti privati che pubbliche amministrazioni;
  • Coper è stato individuato in diffusione con due campagne mirate contro utenti INPS e Intesa SanPaolo. I messaggi via SMS contenevano un link per installare un APK dannoso: un'app fake che in realtà cela il trojan bancario Coper;
  • Qakbot è stato in diffusione con due campagne mirate a tema Resend. Le email contenevano il link per il download di un archivio ZIP: al suo interno un file LNK;
  • Formbook è stato diffuso con una sola campagna mirata a tema Ordine. Le email veicolavano allegati ZIP;
  • Ursnif è stato diffuso con una campagna a tema Documenti. Le email veicolavano il classico documento XLSX con macro dannosa;
  • sLoad è stata di nuovo diffusa via PEC in email a tema Pagamenti. Le email contenevano allegati ZIP con all'interno, un ulteriore ZIP. Estratto quest'ultimo, si trova il vile VBS dannoso. Questa campagna è stata contrastata dal CERT in collaborazione coi provider PEC;
  • AgentTesla è stato diffuso con una campagna a tema Ordine. L'email veicolava il classico allegato XLSX con macro dannosa.

Per approfondire > Alert del CERT: il banking trojan Coper sbarca in Italia

QakBot in breve:

specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

Fonte: https://cert-agid.gov.it


Le campagne di phishing della 3° settimana di Maggio

Le campagne di phishing individuate e analizzate sono state 30. Ben 14 i brand coinvolti in queste campagne. Ovviamente primeggia il sistema bancario, ma si trovano campagne mirate al furto di account email, contro provider come Aruba e per il furto di account Office 365. 

Fonte: https://cert-agid.gov.it


Le campagne contro il settore bancario sono comunque le più numerose, come spesso accade: tra i brand sfruttati MPS; Unicredit, Intesa San Paolo, BPM, CheBanca ecc...

Fonte: https://cert-agid.gov.it


Tipologia di file di attacco e vettore

La scorsa settimana ha segnato lo strapotere degli allegati ZIP, che hanno il vantaggio di poter nascondere alle analisi preventive il proprio contenuto. Sul podio anche il classico formato XLS con macro dannosa e il file LNK.

Fonte: https://cert-agid.gov.it

Nessun commento:

Posta un commento