Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose mirate contro obiettivi italiani. Una sola è stata generica, ma ha interessato anche il cyber spazio italiano. Le famiglie malware in diffusione sono state soltanto 6:

• Emotet di nuovo la fa da padrone, distribuito con 7 campagne a tema Resend. Le email recavano allegati archivio in formato ZIP protetti da password. L'archivio contiene file XLS. Nessuno utilizzo di file LNK, fa notare il CERT: la novità della settimana è il template in uso in Italia, come reso pubblico sul canale Telegram;
• AgenTesla è stato diffuso con tre diverse campagne a tema Pagamenti, Documenti e Ordine. Le email veicolavano allegati ISO e IMG;
• Formbook è stato diffuso con tre campagne, a tema Ordine e Pagamenti. Le email veicolavano allegati in formato DOC, XLSX e XZ;
• Lokibot è stato diffuso con l'unica campagna generica analizzata dal CERT. A tema Pagamenti, l'email veicolava allegati dannosi ZIP;

RedLine stealer: il malware "rubapassword" ha fatto incetta di dati personali degli italiani

RedLine Stealer circola in Italia da due anni: specializzato in furto dati, ha fatto dell'Italia il suo campo di battaglia preferito. E i dati di migliaia di italiani sono pubblicati nel dark web.

RedLine stealer: biografia in breve

Continuando la nostra rassegna sui malware più diffusi in Italia, oggi è la volta di RedLine Stealer, anche perchè abbiamo ricevuto una segnalazione che ci ha fatto pervenire svariati file CSV pieni zeppi di sessioni di accesso e registrazione a siti web come quello dell'Agenzia delle Entrate, del Mise, le prenotazioni per la Carta di Identità Elettronica, di alcuni Comuni italiani e così via.

Andando con ordine, iniziamo con le presentazioni. RedLine Stealer è un malware finalizzato al furto dati personali, finanziari e delle macchine che infetta. In diffusione da Febbraio 2020 è responsabile di ingenti perdite finanziarie e di informazioni a discapito di aziende e molteplici enti pubblici. 

Il primo post pubblicato da RedLine sui forum di hacking.

Ha capacità di furto dati anche dai browser, dai sistemi di messaggistica instantanea e dai software di sharing. In dettaglio RedLine Stealer mira alle credenziali di accesso ai servizi privati e aziendali, alle informazioni sulle carte di credito, ai cookie di sessione attivi e ai dati relativi ai wallet di criptovalute.
In ultimo, RedLine spesso funge da precursore per successivi attacchi ransomware sulle reti colpite. 

RedLine è solito rivendere nel dark web tutti i dati che ruba. E' organizzato secondo il modello MaaS - Malware as a Service, nel quale una rete di affiliati affitta il malware (al costo di circa 200 dollari), lo distribuisce e divide con i profitti coi gestori del servizio.

I sample di dati italiani rubati nel mese di Giugno

Anatomia di MailBot, il nuovo malware per Android già sbarcato in Italia

Il CERT-AGID ha individuato e analizzato una campagna di diffusione di un nuovo malware per Android. Colpisce solo utenti italiani e spagnoli

MailBot,il nuovo malware per Android, in breve

E' stato individuato dal CERT-AGID, in uso in campagne di attacco contro utenti italiani, un nuovo malware pensato per colpire i sistemi Android. MailBot, come è stato soprannominato, ha funzionalità per il furto delle credenziali, dei cookie, per bypassare l'autenticazione multifattore (2FA, MFA) e la verifica in due passaggi: mira a credenziali finanziarie, dati personali e wallet di criptovaluta. E' anche capace di controllare da remoto i dispositivi infetti grazie ad un'implementazione server VNC.

Distribuzione di MailBot

Per quanto fino ad adesso osservato Mailbot viene diffuso tramite siti web fraduolenti. Le campagne SMS che lo distribuiscono, per adesso rinviano infatti a siti web truffaldini: i ricercatori di F5 ad esempio ne hanno individuati due, Mining X e TheCryptoApp. Questi siti web inducevano gli utenti a scaricare una "app per il mining di criptovalute" che invece nascondeva il malware. 

TheCryptoApp, ad esempio, è un'app legittima presente nel Google Play Store e vanta oltre un milione di download. In questo caso specifico, spiegano i ricercatori F5, il link indirizza l'utente al download dell'APK dannoso solo se utilizza un dispositivo Android, altrimenti viene visualizzata la pagina dell'app legittima nel Play Store.

Le variabili Javascript usate per modificare l'URL di download. Fonte: F5

MailBot però si "traveste" anche da altre app, non solo app per il mining: alcuni sample si camuffano da Chrome e MySocialSecurity e sicuramente la lista si allungherà.

L'abuso dell'API di Accesibilità

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Giugno

La scorsa settimana il CERT ha individuato e analizzato 22 campagne dannose contro obiettivi italiani: 1 sola campagna generica ha invece interessato anche il cyber spazio italiano. Rispetto alla 2° settimana di Giugno si nota una drastica riduzione del numero di campagne dannose. 

Le campagne malware sono state 17 e hanno diffuso 9 famiglie di malware:

Attacchi ransomware in Italia: pubblicati i dati dell'Ospedale Melloni di Milano e dell'Università di Pisa

I gruppi ransomware BlackCat e Vice Society hanno pubblicato i dati esfiltrati dalle reti dell'Università di Pisa e dell'Ospedale Melloni di Milano.

BlackCat e Università di Pisa: i dati in vendita nei forum dell'underground hacking

Sono stati puntuali, esattamente come annunciato: dopo varie minacce, ieri il gruppo ransomware ALPHV/BlackCat ha reso pubblici i dati rubati all'Università di Pisa. Anche se tramite una diversa strada, rispetto a quanto ci si aspettava. I dati infatti non si trovano nel leak site del gruppo ransomware, sul quale non figura alcun aggiornamento sulla vicenda.

Al contrario, gli attaccanti hanno fatto sapere alla redazione di Red Hot Cyber che i dati sono stati messi direttamente in vendita, senza passare dal leak site. I dati sono stati postato invece su XSS un forum dell'underground hacking molto frequentato dai cyber criminali. 

Fonte: Red Hot Cyber

Il fatto che i dati siano stati messi direttamente in vendita, per un prezzo complessivo di un milione di dollari circa, la dice lunga su come stia procedendo l'attacco. L'ateneo pisano si è chiuso nel mutismo più totale, non solo verso i propri studenti e dipendenti ai quali non ha ancora inviato alcuna comunicazione, ma anche evidentemente verso gli attaccanti.