Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 1 - 7 Ottobre
La scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose: 18 sono state mirate contro gli utenti italiani, 4 sono invece state generiche ma circolate comunque nel cyber spazio italiano.
Le famiglie malware individuate in diffusione sono state 8: tra tante conferme, c'è una novità. E' stato individuato in diffusione per la prima volta in Italia il malware per furto dati BluStealer. Ecco qui i malware diffusi:
- Formbook è stato diffuso con due diverse campagne email, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati dannosi nei formatiLZH e RAR.
Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia; - BluStealer è stato diffuso per la prima volta in Italia con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email contenevano un link che rimanda al download di un file in formato ISO.
Rimandiamo al dettagliato approfondimento del CERT per approfondire questa minaccia; - Qakbot è stato diffuso con due campagne mirate, una a tema Resend e una a tema Pagamenti. Il corpo email conteneva un link che conduce al download di un archivio ZIP. Entro l'archivio sono presenti file ISO, LNK o XLSB.
Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia; - Lokibot è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati RAR;
- SMSRat è stato diffuso con una campagna circolata via SMS e rivolta ad utenti Android. Gli SMS erano a tema banking e contenevano un link che portava al download di un APK dannoso;
- AgentTesla è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati dannosi in formato XLSX.
Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia; - Remcos è stato diffuso con una campagna a tema Documenti diffusa vie email con allegati RAR;
- IceID è stato diffuso con una campagna fale di Agenzia Entrate e Riscossione: le email veicolavano allegati XLS dannosi. La campagna ha riguardato anche indirizzi PEC.
Lokibot in breve
LokiBot ha molte funzioni, oltre al furto delle credenziali. Ad esempio, appena "dentro" Android, apre il browser e scarica un URL dal quale verrà installato un proxy SOCK5 per reindirizzare il traffico in uscita. Può rispondere automaticamente agli SMS e inviare altri SMS ai contatti della vittima: nella quasi totalità dei casi si tratta di SMS di spam usati per infettare nuovi utenti. Infine può mostrare false notifiche provenienti da altre app. Questa funzionalità serve a ingannare gli utenti facendo loro credere di avere ricevuto del denaro sul proprio conto bancario e per indurli quindi ad aprire l'app di mobile banking. Quando l'utente tocca la notifica, LokiBot mostra una pagina falsa invece dell'app reale: le credenziali di login inserite finiranno nelle mani degli attaccanti.RedLine RAT in breve:
in tutta la campagna di attacco il malware vero e proprio, inteso in senso classico, è appunto RedLine che è un malware scritto in .NET. Esegue scansioni sulla macchina bersaglio incerca di software per la gestione della criptovaluta e app di messaggistica, mentre ha funzionalità specifiche per sfruttare e raccogliere dati dal servizio VPN Nord VPN. E' un malware infostealer, specializzato nel furto di: cookie, credenziali VPN, credenziali memorizzate sui browser (login social ed email, ma anche estremi delle carte di credito ecc...), wallet di criptovaluta, informazioni di sistema.
 |
| Fonte: https://cert-agid.gov.it |
Le campagne di phishing e i temi della settimana 1 - 7 Ottobre
Le campagne di phishing individuate sono state 11 ed hanno sfruttato 7 brand: vi troviamo Agenzia delle Entrate, Nexi e Poste. Immancabili le campagne di phishing "webmail generic", lanciate "nel mucchio" nel tentativo di rubare account email.
 |
| Fonte: https://cert-agid.gov.it |
Analizzando i temi, il CERT fa sapere che:
- il tema banking è stato usato principalmente per campagne di phishing finalizzate al furto dati, ma anche per diffondere il malware SMSRat che, ricordiamo, è pensato per i dispositivi Android;
- il tema Pagamenti è stato usato principalmente per diffondere i malware Formbook, Bluestealer e Qakbot;
- il tema Delivery, che ha visto sfruttato principalmente il brand DHL, è stato usato per diffondere i malware Lokibot e AgentTesla.
 |
| Fonte: https://cert-agid.gov.it |
Tipologia di file di attacco e vettore
I formati file più utilizzati come vettore di attacco sono stati, e non è certo una novità, i formati archivio, in dettaglio RAR e ZIP. La novità è che il formato file immagine ISO è stato quello più utilizzato in assoluto.
 |
| Fonte: https://cert-agid.gov.it |
Nessun commento:
Posta un commento