Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 05 - 11 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 05 - 11 Novembre

La scorsa settimana il CERT ha intercettato e analizzato 36 campagne dannose: di queste 32 sono state mirate contro utenti italiani mentre 4 sono state generiche ma veicolate anche nel cyber spazio italiano. Le famiglie individuate in diffusione sono state 7, con una sovraesposizione del malware Emotet. Ecco il dettaglio:

• Emotet è stato diffuso con 11 diverse campagne a tema Documenti, Pagamenti e Resend. Le email hanno veicolato allegati ZIP e XLS. Per la diffusione sono state usate le parti Epoch5 e Epoch4 dell'infrastruttura di Emotet. Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento;
• AgentTesla è stato diffuso con 6 diverse campagne a tema Pagamenti e Delivery: 2 di queste sono state campagne generiche, ma 4 invece sono state mirate contro utenti italiani. Gli allegati vettore sono stati nei formati 7Z, ACE, IMG e DOC. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato in diffusione con 2 campagne mirate molto insidiose: uno a tema Energia, che ha simulato comunicazioni relative a bollette Enel e una che ha simulato comunicazioni dell'Agenzia delle Entrate. Le email hanno veicolato allegati XLS. Maggior info sul canale Telegram del CERT;

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 29 Ottobre - 4 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 29 Ottobre - 4 Novembre

La scorsa settimana il CERT-agID ha individuato e analizzato 30 campagne dannose: 1 sola è stata generica mentre tutte le altre sono state mirate contro obiettivi italiani. 5 sono state le famiglie malware individuate in diffusione:

• Emotet torna a colpire in Italia dopo 4 mesi di assenza. E' stato diffuso con ben 5 diverse campagne: le solite email con allegati archivio ZIP protetti da password e contenenti file Excel con macro dannosa. Per approfondire > Emotet torna a colpire in Italia;
• AgentTesla è stato diffuso con quattro campagne a tema Pagamenti e Delivery. Le email vettore veicolavano alleati 7Z, ISO e RAR. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato diffuso con una campagna email che simulava l'invio delle bollette Enel: le email sono circolate nel circuito PEC con allegati dannosi XLS;
• Formbook è stato diffuso con una campagna a tema Ordine: le email veicolavano allegati archivio 7Z. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• Qakbot è stato diffuso con una campagna a tema Resend veicolata via email. Gli allegatio erano file archivio ZIP contenenti, al loro interno, file ISO. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;

IceID in breve:

Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

Botnet Emotet: rilevata una nuova attività collegata alla botnet Emotet. Nella nuova campagna sono usati file PDF ed Excel come esca, mentre l'archivio RAR (protetto da password) contenente il malware si sblocca da sé

La nuova campagna di Emotet

L'alert viene dai ricercatori Trustwave-SpiderLabs: la botnet Emotet è legata ad una nuova ondata di campagne di phishing che sfruttano archivi protetti da password per diffondere due malware sui sistemi infetti. I due malware sono CoinMiner e QuasaRat. La particolarità è che l'archivio, protetto da password, si auto sblocca senza necessità che sia l'utente ad inserire codici per estrarlo ed eseguirne il contenuto. 

Come? Semplicemente, gli attaccanti hanno aggiunto un file batch che fornisce automaticamente le password. Si riduce il ruolo che deve "giocare" l'utente nel corso dell'infezione. Il problema non è secondario, come si è visto di recente, quando il CERT ha segnalato che una campagna di diffusione di sLoad contro il circuito PEC non ha funzionato perché gli attaccanti si sono dimenticati di allegare al corpo email la password per estrarre l'archivio. 

La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.

Per saperne di più > La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

Emotet: dettagli di diffusione

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 8 - 14 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla c0nsapevolezza. 

I malware della settimana 8 - 14 Ottobre

La scorsa settimana il CERT AgID ha individuato e analizzato 24 campagne dannose che hanno preso di mira utenti italiani. Le famiglie malware individuate in diffusione sono state 7. In dettaglio sono state:

• Remcos è stato diffuso con due campagne a tema Documenti e Preventivo: le email veicolavano allegati archivio in formato RAR;
• Avemaria è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati in formato 7Z;
• Guloader è stato diffuso con una campagna a tema Pagamenti. Le email veicolavano allegati GZ;
• AgenTesla è stato diffuso con una campagna a tema Delivery. Le email veicolavano allegati GZ. Si registra l'uso di Guloader come downloader. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con una campagna a tema Banking. Le email veicolavano archivi RAR. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• sLoad dopo due mesi di silenzio torna in diffusione in Italia. La campagna è stata a tema Pagamenti ed è circolata nel circuito PEC. Gli attaccanti hanno però compiuto un errore, veicolando un archivio ZIP protetto da password senza inserire la password nel corpo email: questo ha, per adesso, impedito le infezioni. Qui il report dettagliato del CERT su questa campagna;
• Brata è stato diffuso con una campagna veicolata via SMS e mirata contro utenti Android. L'SMS, a tema banking, conteneva un link che conduceva al download di un APK dannoso. Per approfondire > Brata, il RAT per Android diffuso in Italia, si evolve in minaccia persistente. Ora intercetta gli SMS e le OTP. 

Remcos in breve:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 1-7 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1 - 7 Ottobre

La scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose: 18 sono state mirate contro gli utenti italiani, 4 sono invece state generiche ma circolate comunque nel cyber spazio italiano. 

Le famiglie malware individuate in diffusione sono state 8: tra tante conferme, c'è una novità. E' stato individuato in diffusione per la prima volta in Italia il malware per furto dati BluStealer. Ecco qui i malware diffusi:

• Formbook è stato diffuso con due diverse campagne email, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati dannosi nei formatiLZH e RAR.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• BluStealer è stato diffuso per la prima volta in Italia con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email  contenevano un link che rimanda al download di un file in formato ISO.
  Rimandiamo al dettagliato approfondimento del CERT per approfondire questa minaccia;
• Qakbot è stato diffuso con due campagne mirate, una a tema Resend e una a tema Pagamenti. Il corpo email conteneva un link che conduce al download di un archivio ZIP. Entro l'archivio sono presenti file ISO, LNK o XLSB.
  Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
• Lokibot è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati RAR;
• SMSRat è stato diffuso con una campagna circolata via SMS e rivolta ad utenti Android. Gli SMS erano a tema banking e contenevano un link che portava al download di un APK dannoso;
• AgentTesla è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati dannosi in formato XLSX.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Remcos è stato diffuso con una campagna a tema Documenti diffusa vie email con allegati RAR;
• IceID è stato diffuso con una campagna fale di Agenzia Entrate e Riscossione: le email veicolavano allegati XLS dannosi. La campagna ha riguardato anche indirizzi PEC. 

Lokibot in breve

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 10 - 16 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 10 - 16 Settembre

La scorsa settimana il CERT ha individuato e analizzato 24 campagne dannose mirate contro utenti italiani e 2 campagne generiche veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 5, diffuse con sette diverse campagne:

• AgentTesla è stato diffuso con due campagne mirate a tema Ordine. Le email veicolavano allegati dannosi nei formati ISO e RAR. Una campagna è stata veicolata tramite Guloader.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con due campagne mirate, uno a tema Contratti e uno a tema Pagamenti. Le email veicolavano allegati nei formati ZIP e IMG. Anche in questo caso è stato usato Guloader come loader del malware.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;

Cosa "gira" in Italia? L'analisi comparativa del CERT primo semestre 2021 - primo semestre 2022

Il CERT ha pubblicato un analisi comparativa tra i dati relativi al 1° semestre 2021 e il 1° semestre 2022: il dato principale è che le campagne malware sono più che raddoppiate. 

I dati del primo semestre 2022: campagne malware

Nel 1° semestre del 2022 il CERT ha individuato un totale di 1272 campagne dannose e ha prodotto per le organizzazioni accreditate 22.510 Indicatori di compromissione. Rispetto allo stesso periodo del 2021 si registrano:

• +70,5% di campagne malware dannose attive nello spazio italiano;
• +173,51% di IoC diffusi. 

Il CERT specifica comunque come questi dati in parte siano da attribuirsi anche al fatto che sono aumentate le segnalazioni spontanee pervenute al CERT (contattabile, lo ricordiamo, tramite l'indirizzo email malware@cert-agid.gov.it) sia da parte delle pubbliche amministrazioni che dei privati.  Ma anche all'evoluzione stessa dell'infrastruttura di monitoraggio del CERT. 

Meno preoccupante la crescita delle campagne di phishing: la crescita c'è, ma ben lontana dalle percentuali di crescita relative alle campagne malware. 

I malware più attivi

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - prima settimana di Luglio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della prima settimana di Luglio

La scorsa settimana il CERT-AGID ha individuato e analizzato 28 campagne dannose contro utenti italiani. Una sola campagna è stata generica ma ha riguardato anche utenti italiani. Le famiglie malware in diffusione sono state 6, per un totale di 14 campagne di distribuzione malware. Ecco i dettagli:

• Emotet si conferma il malware più diffuso in Italia. Le campagne individuate la scorsa settimana sono state 7, a tema Resend. Due sono transitate nel circuito PEC: le email contenevano archivi ZIP protetti da password. Al loro interno file XLS dannosi.  Sotto una delle email vettore. La distribuzione delle email nel circuito PEC è avvenuta da Epoch4 e Epoch5;
• EnvyScout è stato diffuso in Italia con una email a tema Covid-19 che imitava una comunicazione ufficiale del Governo Italiano. Su questa minaccia, il CERT ha pubblicato uno specifico alert;
• Formbook è stato diffuso con una campagna mirata contro utenti italiani a tema Pagamenti: le email veicolavano allegati XZ;
• Snake è stato diffuso con una campagna a tema Ordine con allegati archivio ZIP;
• Urnsif è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand del noto corriere DHL. Le email veicolavano allegati XLSM;
• AgentTesla è stato l'unico malware diffuso con una campagna generica ma circolata anche nel cyber spazio italiano. Le email allegavano archivi ZIP contenenti file HTML. L'HTM contiene, a sua volta, un iframe in base 64 ed è da qui che si ottiene l'archivio ZIP criptato contenente il vero eseguibile (EXE) del malware.

Per approfondire > Novità Emotet: ora ruba le carte di credito salvate su Chrome

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - ultima settimana di Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware dell'ultima settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 32 campagne dannose mirate contro obiettivi italiani. Le famiglie malware in diffusione sono state 7:

• Emotet sul podio, si conferma il malware più diffuso in Italia. La scorsa settimana sono state rilevate 8 campagne di diffusione a tema Resend. Le email contenevano allegati ZIP protetti da password contenenti, a loro volta, file XLS;
• Brata è stato diffuso con 4 campagne a tema Banking, veicolate via SMS. I messaggi contenevano il link al download di un file APK. Questi file sono solitamente denominati "BancaSicura.apk";
• Formbook è stato diffuso con 2 campagne a tema Ordine. Le email veicolavano allegati archivio ZIP con, all'interno, un file XLSX;

sLoad e PEC: il malware usa una nuova tecnica per eludere i controlli sulle estensioni file

Il CERT ha scoperto, nel corso del monitoraggio dei cyber rischi circolanti nel circuito PEC, che il malware sLoad usa una nuova tecnica per eludere i controlli.

Prima di iniziare, le presentazioni: sLoad in breve

Di sLoad abbiamo parlato spesso. Dovutamente, dato che è uno dei malware più diffusi in Italia. Ma soprattutto perch è il malware che ha fatto delle PEC il suo "campo di battaglia preferito" e questo è, nei fatti, un problema di sicurezza nazionale. 

Sviluppato per operare sui sistemi Windows e per colpire le aziende, si basa su uno script Powershell del cui download è appunto responsabile un dropper solitamente nascosto entro un archivio ZIP e "ospitato" entro file che assumono diverse forme. E' questo Powershell che installa ed esegue il core di sLoad. Manco a dirsi è altamente offuscato, ma i ricercatori hanno osservato che sLoad si installa in APPDATA in una cartella il cui nome ha lunghezza variabile. 

La prima operazione compiuta è, ovviamente, quella di garantirsi la persistenza. Per farlo crea una task apposita che inizia con la lettera S ed è seguita, nel nome, da un numero sequenziale: sLoad così si anniderà nel sistema e sarà sempre pronto ad agire.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 45 campagne dannose mirate contro utenti italiani. Una sola è stata generica ed ha riguardato anche il cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 9: ben 30 le campagne finalizzate alla diffusione di malware.

• Emotet la fa da padrone, con ben 16 campagne mirate contro utenti italiani. Queste campagne sono state a tema Resend ed hanno veicolato allegati ZIP protetti da password contenenti, a loro volta, file LNK o XLS.  Gli esperti del CERT sottolineano come le campagne Emotet siano raddoppiate rispetto alla settimana scorsa. 

sLoad nuovamente in diffusione via PEC: info e come eliminare il trojan rubadati

E' da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonché uno dei malware più diffusi anche tramite il circuito "sicuro" della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

sLoad: il "pirata" del circuito PEC

sLoad viene diffuso a cadenza quasi settimanale con diverse tipologie di campagne email quasi esclusivamente tramite circuito PEC e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa. 

E' tra quei malware che viene costantemente contrastato dal CERT assieme ai provider di email PEC: un'operazione dovuta vista la necessità che il circuito PEC si mantenga sicuro. E' anche uno dei malware che più spesso mira alla Pubblica Amministrazione. 

Per fare un esempio concreto, la scorsa settimana il CERT ha contrastato l'ennesimo tentativo di diffusione nel circuito PEC: sul canale Telegram del CERT è stata pubblicata l'email incriminata, visibile sotto

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Maggio

La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose. Ormai si può dire che sono tutte mirate contro gli utenti italiani: una sola di queste, infatti, è stata generica ma veicolata anche nello spazio italiano, mentre tutte le altre sono state mirate. 

Le famiglie malware individuate in diffusione sono state 7, diffuse con 22 campagne. Capofila Emotet, che torna a primeggiare nel panorama delle cyber minacce contro gli utenti italiani:

• Emotet è stato diffuso con 14 campagne italiane. I temi sono stati Resend e Documenti. Le email allegavano archivi ZIP protetti da password, contenenti file LNK o XLS. Le campagne hanno riguardato sia utenti privati che pubbliche amministrazioni;
• Coper è stato individuato in diffusione con due campagne mirate contro utenti INPS e Intesa SanPaolo. I messaggi via SMS contenevano un link per installare un APK dannoso: un'app fake che in realtà cela il trojan bancario Coper;
• Qakbot è stato in diffusione con due campagne mirate a tema Resend. Le email contenevano il link per il download di un archivio ZIP: al suo interno un file LNK;
• Formbook è stato diffuso con una sola campagna mirata a tema Ordine. Le email veicolavano allegati ZIP;
• Ursnif è stato diffuso con una campagna a tema Documenti. Le email veicolavano il classico documento XLSX con macro dannosa;
• sLoad è stata di nuovo diffusa via PEC in email a tema Pagamenti. Le email contenevano allegati ZIP con all'interno, un ulteriore ZIP. Estratto quest'ultimo, si trova il vile VBS dannoso. Questa campagna è stata contrastata dal CERT in collaborazione coi provider PEC;
• AgentTesla è stato diffuso con una campagna a tema Ordine. L'email veicolava il classico allegato XLSX con macro dannosa.

Per approfondire > Alert del CERT: il banking trojan Coper sbarca in Italia

QakBot in breve:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 1° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 1° settimana di Maggio

La scorsa settimana il CERT AGID ha individuato e analizzato 31 campagne dannose. 30 sono state campagne mirate contro utenti italiani, una sola è una campagna generica ma veicolata anche nel cyber spazio italiano. 309 gli IOC individuati.

Le famiglie malware individuate sono state 8, diffuse con 11 diverse campagne: rispetto alla scorsa settimana, sottolinea il CERT, si registra una netta riduzione del numero di campagne. Il perchè potrebbe iumputarsi al fatto che la scorsa settimana non ci sono state campagne di diffusione di Emotet, che invece la scorsa settimana si piazzava al primo posto dei malware più diffusi con ben 7 campagne.

Per saperne di più > Malware e campagne di attacco individuate dal CERT - 4° settimana Aprile: il nuovo Emotet è già sbarcato in Italia

Ecco i malware più diffusi la scorsa settimana:

Malware e campagne di attacco individuate dal CERT - 4° settimana Aprile: il nuovo Emotet è già sbarcato in Italia.

Neppure il tempo di parlarne e la nuova versione di Emotet è già al primo posto dei malware più diffusi in Italia la scorsa settimana. 

Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori downloader dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Emotet le ultime novità:
Le novità recenti sono pessime e non hanno fatto altro che anticipare quel che è la conferma della settimana, ovvero Emotet è tornato, è più forte di prima e non se ne andrà a breve. Le ultime novità riferiscono a due evidenze:

• il volume di email di spam per la diffusione di Emotet è passato da 3000 a 30000 email al giorno tra Febbraio e Marzo e il trend, anche per Aprile, è ancora in crescita;
• Epoch4, la parte dell'infrastruttura di Emotet usata a fini di test, sta diffondendo da un paio di settimane un nuovo payload del malware, che è passato da 32-bit a 64-bit. Il tasso di individuazione da parte delle più diffuse soluzioni di sicurezza è passato da 60% al 4%. 

Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

I malware della 4° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 36 campagne dannose. Tutte sono mirate contro utenti italiani eccetto una, che è stata generica ma veicolata anche nel cyber spazio italiano. Ben 1220 gli IOC messi a disposizione dal CERT. 

Le famiglie malware individuate in diffusione sono state 8, ecco la lista:

La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

UPDATE del 29/04/2022 -> Il CERT Giapponese ha aggiornato la propria utility EmoCheck alla versione 2.2. Questa individua e blocca la nuova versione a 64-bit di Emotet. L'utility è disponibile qui al download.


E' una vecchia conoscenza e una presenza quasi fissa nei report settimanali del CERT: Emotet non è affatto nuovo in Italia e anzi, si piazza tra i malware più distribuiti nel nostro paese. Ha avuto vicende alterne: qualche tempo fa abbiamo raccontato di come una task force internazionale ne ha preso il controllo e abbattuta l'infrastruttura. Ma Emotet è tornato, malware e botnet, più forte di prima.

Emotet in breve:

Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.


Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

I ricercatori segnalano un forte incremento della botnet Emotet

Le pessime notizie riguardo a Emotet non accennano però a diminuire, anzi. I ricercatori di sicurezza hanno denunciato una vera e propria impennata nella distribuzione del malware. C'è anche il forte sospetto che, a breve, gli attaccanti eseguiranno lo switch ad un nuovo payload che, attualmente, è rilevato da un numero veramente ridotto di soluzioni di sicurezza e motori antivirus.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Marzo

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana Marzo

La scorsa settimana il CERT-AGID ha individuato e analizzato 38 campagne dannose attive nel cyber spazio italiano. Di queste, ben 36 sono state mirate contro obiettivi italiani; soltanto due invece quelle generiche ma veicolate anche nello spazio italiano. 1018 gli indicatori di compromissione individuati.

10 sono state le famiglie malware individuate in diffusione:

• Emotet è stato il malware più individuato in diffusione, per la terza settimana consecutiva. E' stato diffuso con ben 11 campagne, a tema Resend, Documenti o Pagamenti. Tutte le email contenevano un file archivio .ZIP con, al suo interno, documenti in formato XLSM o XLS. A loro volta questi erano usati per scaricare la DLL di Emotet. Analisi sui server C&C del malware hanno portato alla luce il fatto che alcuni di questi sono ospitati su hosting italiani;
• Brata è stato in diffusione con 3 diverse campagne a meta Banking e una a tema Avvisi di Sicurezza. E' stato diffuso via SMS contenenti un link che rimandava al download in un file in formato APK;
• Formbook è stato diffuso con 2 campagne, una mirata su utenti italiani e una generica ma veicolata anche in Italia. Entrambe le campagne sono state via email, a tema Pagamenti o Documenti con allegati di tipo ZIP o CAB. I ricercatori del CERT hanno notato come al campagna che ha fatto uso del file vettore CAB distribuisse anche un secondo CAB contenente, a sua volta, il malware Nanocore;
• Qakbot è stato diffuso con due campagne mirate contro utenti italiani, a tema Resend. Le email contenevano il link per il download di un archivio ZIP contenente un documento XLSB con macro dannosa;
• AgenTesla è stato diffuso con due campagne mirate, a tema Pagamenti. Le email veicolavano allegati in formato GZ e IMG;
• Snake è stato diffuso con una campagna a tema Ordine veicolata via email. Le email contenevano allegati ZIP con, al loro interno, un file esegubile EXE con funzionalità di dropper. Questo scarica un file PE da un repository remoto.
• Nanocore, come detto prima, è stato diffuso in un'unica campagna assieme al malware Formbook;
• Avemaria è stato diffuso con una campagna italiana a tema preventivo. E' stato diffuso via email contenenti allegai ZIP;
• Ursnif è stato diffuso con una sola campagna a tema pagamenti. E' stato diffuso via email contenenti allegati XLS;
• WarzoneRat è stato diffuso con una campagna email a tema Delivery. Le email contenevano allegati XLS.
  

QakBot in breve:

sLoad: l'approfondimento del CERT sul malware che colpisce solo in Italia (via PEC)

Il CERT ha reso pubblico qualche giorno fa un importantissimo report sul malware sLoad. sLoad è in diffusione in Italia ormai da tempo e si contraddistingue per essere diffuso tramite campagne via email PEC. Il CERT collabora da qualche tempo con alcuni dei principali provider di servizi PEC italiani proprio nell'ottica di individuare, tracciare e quindi contrastare campagne dannose che dovessero transitare tramite un circuito come quello PEC che deve distinguersi necessariamente per sicurezza. 

Il report è da inquadrarsi proprio nell'ambito di queste attività di tutela e protezione del circuito PEC, dato che sLoad è veicolato esclusivamente tramite questo canale. Il report abbonda di dettagli tecnici che non renderemo nella loro totalità: tratteremo i punti salienti invitando a consultare il report completo disponibile sul sito istituzionale del CERT.

sLoad: biografia
sLoad è stato diffuso per la prima volta in Italia nell'Ottobre del 2018, anche se alcune fonti datano la prima individuazione nel nostro cyber spazio già nel Giugno 2018. In quel periodo circolava un report del ricercatore di sicurezza Vitali Kremez nel quale si affermava che fosse il malware bancario Ramnit il payload di sLoad. 

Per la maggior parte dei ricercatori è un malware pensato appositamente per colpire in Europa (Italia e Inghilterra in primis) ma è andato progressivamente a concentrarsi solo sull'Italia. Nell'osservazione delle campagne italiane non è mai stato individuato il malware Ramnit come payload di Sload, sottolinea il CERT. Si ipotizza quindi che il malware sia nato veicolando Ramnit in Inghilterra e che poi si sia focalizzato sul nostro paese sostituendo il payload. 

sLoad: come si diffonde?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Febbraio
La scorsa settimana il CERT-AGID ha individuato e analizzato ben 55 campagne dannose attive nel cyber spazio italiano. 52 di queste sono state campagne mirate contro utenti italiani, 3 invece quelle generiche ma veicolate anche nel nostro paese. 

Le famiglie malware individuate in diffusione sono state 11: Emotet si conferma il malware più diffuso in Italia.

• Emotet è stato diffuso con ben 6 campagne nel corso della settimana. I temi delle campagne sono stati Conferma, Resend e Documenti: i file vettore erano nei formati .XLS, .XLSM, .ZIP;

Il CERT-AGID pubblica il report dei malware diffusi in Italia nel 2021

Tempo di bilanci questo: il CERT-AGID ha pubblicato un report riassuntivo sui malware e le campagne di attacco che ha individuato, analizzato e segnalato. Il report completo è disponibile qui. Nell'articolo rendiamo solo i punti salienti, ritenendo necessaria la consapev0lezza riguardo le principali minacce diffuse in Italia in modo da prevenire e minimizzare almeno gli attacchi più comuni. 

Il bilancio complessivo, spiega il CERT, è di 47 diverse famiglie malware individuate in diffusione nell'ambito di 496 diverse campagne: questo certosino lavoro di analisi ha consentito al nostro Computer Emergency Response Team di rendere disponibili oltre 16.000 indicatori di compromissione (IoC).

Il grafico sottostante mostra le 47 famiglie malware