Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 29 Ottobre - 4 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 29 Ottobre - 4 Novembre

La scorsa settimana il CERT-agID ha individuato e analizzato 30 campagne dannose: 1 sola è stata generica mentre tutte le altre sono state mirate contro obiettivi italiani. 5 sono state le famiglie malware individuate in diffusione:

• Emotet torna a colpire in Italia dopo 4 mesi di assenza. E' stato diffuso con ben 5 diverse campagne: le solite email con allegati archivio ZIP protetti da password e contenenti file Excel con macro dannosa. Per approfondire > Emotet torna a colpire in Italia;
• AgentTesla è stato diffuso con quattro campagne a tema Pagamenti e Delivery. Le email vettore veicolavano alleati 7Z, ISO e RAR. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato diffuso con una campagna email che simulava l'invio delle bollette Enel: le email sono circolate nel circuito PEC con allegati dannosi XLS;
• Formbook è stato diffuso con una campagna a tema Ordine: le email veicolavano allegati archivio 7Z. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• Qakbot è stato diffuso con una campagna a tema Resend veicolata via email. Gli allegatio erano file archivio ZIP contenenti, al loro interno, file ISO. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;

IceID in breve:

IceID è un trojan bancario. Ha un'architettura modulare e la capacità di sottrarre le credenziali bancarie agli utenti tramite un attacco MITM (man-in-the-middle). IceID imposta un proxy locale e reindirizza tutto il traffico Internet attraverso questo. Inoltre può scaricare ed eseguire le componenti necessarie a rimanere invisibile. E' dotato di un modulo per la diffusione nella rete, peculiarità raramente osservata in altro trojan bancari.

Fonte: https://cert-agid.gov.it

Le campagne di phishing e i temi della settimana 29 Ottobre - 4 Novembre

Le campagne di phishing individuate e analizzate sono state 18 e hanno coinvolto ben 11 brand diversi. Tra i più colpiti Aruba, INPS (via SMS) e Nexi. Seguono Intesa San Paolo, Poste, InfoCert a riconferma dei bersagli preferiti dagli attaccanti, ovvero i dati bancari e di accesso agli account webmail.

Fonte: https://cert-agid.gov.it

I temi più sfruttati sono stati, invece:

• banking: una conferma, nessuna novità. Sotto attacco i principali istituti bancari del paese. Il tema banking è stato sfruttato per campagne tutte mirate contro utenti italiani;
• documenti: è stato il tema usato per le 5 campagne che hanno distribuito Emotet;
• riattivazione account: usato per le campagne di phishing, comprese quelle circolate nel circuito PEC.

Fonte: https://cert-agid.gov.it

Guide utili per rimanere al sicuro da attacchi malware e phishing

• Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Gli allegati email più usati per infettare Windows
• L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima