martedì 14 giugno 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Giugno


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 45 campagne dannose mirate contro utenti italiani. Una sola è stata generica ed ha riguardato anche il cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 9: ben 30 le campagne finalizzate alla diffusione di malware.

  • Emotet la fa da padrone, con ben 16 campagne mirate contro utenti italiani. Queste campagne sono state a tema Resend ed hanno veicolato allegati ZIP protetti da password contenenti, a loro volta, file LNK o XLS.  Gli esperti del CERT sottolineano come le campagne Emotet siano raddoppiate rispetto alla settimana scorsa. 
  • Formbook è stato in diffusione con 4 campagne a temi variabili: Documenti, Delivery con abuso del brand DHL, e Resend. Gli allegati vettore sono stati GZ e XLSX.
  • Urnsif è stato diffuso con tre campagne rispettivamente a tema< Documenti, Delivery (sempre DHL) e Pagamenti. Gli allegati dannosi sono stati in formato XLSM e DOC. Nel caso del documento DOC è stato usato anche SVCReady.
  • SVCReady è la novità in Italia. E' stato diffuso con due campagne, una a tema Resend e l'altra a tema Documenti. In entrambi i casi le email contenevano, come allegato vettore, un file DOC. 
  • Avemaria è stato diffuso con la sola campagna generica individuata in Italia. L'email era a tema Ordine e veicolava allegati RAR.
  • sLoad è stato diffusione con una campagna mirata contro utenti italiani. Nuovamente sotto attacco il circuito PEC. Le email contenevano nel testo un link che rimandava al download di un file ZIP contenente a sua volta un WSF. Anche questa campagna è stata contrastata dal CERT in collaborazione con i provider PEC.
  • Snake è stato diffuso con una campagna mirata contro utenti italiani a tema Ordine. Le email recavano un allegato GZ.
  • AgenTesla è stato diffuso con una campagna mirata a tema DHL (Delvery): gli allegati vettore erano in formato GZ.
  • Qakbot è stato diffuso con una campagna a tema Resend. Le email vettore utilizzavano un allegato HTML che, a sua volta, conteneva un file IMG con un LNK + una DLL nascosta e un file DOCX. Quest'ultimo sfrutta un exploit per la vulnerabilità Follina” CVE-2022-30190.

Per saperne di più > Individuata una vulnerabilità 0day molto pericolosa sui SO Windows e Windows Server: la CVE-2022-30190 Follina è già usata in attacchi reali

SVCReady in breve:
SVCReady è nuovo in Italia. Per la propagazione predilige i documento Word con macro, grazie alla quale esegue uno shellcode memorizzato nelle proprietà del documento stesso. SVCReady puà caricare ed eseguire file sulla macchina infetta, eseguire screenshot, raccogliere i dati di sistema, elencare i dispositivi collegati alla macchina bersaglio. Si guadagna la persistenza impostandosi come attività pianificata. 

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 2° settimana di Giugno

Le campagne di phishing sono state 16  hanno coinvolto 12 diversi brand. Qui abbiamo le solite conferme di sempre: la maggior parte delle campagne sono state finalizzate al furto di credenziali bancarie / carte di credito e al furto di credenziali di account webmail.

Tra i brand più sfruttati troviamo al primo posto Office 365, quindi Sella e MPS. 

Fonte: https://cert-agid.gov.it


Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Nella classifica per i file vettore utilizzati si piazza al primo posto, per netto distacco, il formato Excel XLS. Il formato ZIP, che aveva invece dominato la classifica delle scorse settimane, si piazza solo al secondo post. Seguono i formati LNK e DOC. 

Fonte: https://cert-agid.gov.it

Anche i formati dei file di attacco confermano una certezza della settimana: non si trova traccia di attacchi contro i dispositivi Android che invece, nelle scorse settimane, erano stati sotto attacco per la diffusione di malware come SMSGrab e Brata. 

Nessun commento:

Posta un commento