Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia

L'ultimo e più recente alert relativo alla diffusione di Qakbot in Italia è di qualche giorno fa: si può leggere sul sito ufficiale del CERT-Agid e analizza in dettaglio l'ultima campagna mirata contro utenti italiani. E' solo l'ennesimo episodio del lungo rapporto tra Qakbot e il cyber crimine italiano, visto che questo malware è quasi senza interruzione in diffusione, con nuove campagne, ogni settimana. Vediamolo quindi un pò più da vicino.

Qakbot: biografia di una lunga vita al servizio del cyber crime

Qakbot è in attività da più di dieci anni. Fu individuato per la prima volta nel lontano 2007, già in uso in attacchi reali. Non è scomparso semplicemente perché in tutti questi anni non ha mai smesso di essere aggiornato, mantenuto e migliorato. Piano piano ha scalato le classifiche dei trojan più diffusi e pericolosi, arrivando ad essere considerato una minaccia di rilievo mondiale. La sua attività principale, per il quale è stato sviluppato fin dall'inizio, è il furto di credenziali bancarie ma le evoluzioni che lo hanno caratterizzato in questi anni hanno portato all'addizione di una vasta gamma di nuove funzioni: dalla possibilità di installare ransomware al fine di massimizzare i profitti da ogni attacco, passando per tecniche di keylogging (furto delle battiture sulla tastiera), tecniche di evasione delle soluzioni di sicurezza, funzionalità di backdoor ecc...

Ha anche moduli specifici per il furto di account email dai quali rilanciare ulteriormente le proprie campagne di diffusione. 

Nel 2019 viene diffusa una nuova versione, che, rispetto alla precedente dimostra un grande lavoro svolto dai suoi sviluppatori per armarlo ulteriormente e renderlo una minaccia ancora più pericolosa. 

QakBot: la catena di infezione

La botnet Emotet ritorna attiva: in corso campagne massive di distribuzione dei malware TrickBot e QakBot

I ricercatori attivamente impegnati nel tracciamento della botnet Emotet hanno lanciato, a distanza di pochi giorni, due alert riguardanti due nuove campagne di distribuzione malware che segnano il ritorno all'attività di questa botnet dopo un periodo di inattività durato diversi mesi. Il primo alert riguarda la distribuzione del malware TrickBot, il secondo del malware Qakbot. 

1. TrickBot diffuso via spam contro macchine Windows

La prima campagna è stata individuata il 17 Luglio, dopo oltre 5 mesi di inattività della botnet Emotet. La campagna si basa sulle solite email di spam spacciate per fatture, informazioni di di consegna, opportunità di lavoro o fatture: ovviamente è tutto falso, la classica tecnica di ingegneria sociale per convincere le vittime ad aprire l'allegato dannoso. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 8-14 Maggio
Questa settimana il CERT-AGID ha individuato e analizzato ben 41 campagne dannose attive: 4 di queste sono state generiche ma veicolate anche in Italia, mentre 37 miravano esplicitamente ad obiettivi italiani. 217 sono stati gli indicatori di compromissione messi a disposizione.

Le famiglie malware individuate in diffusione sono state 7, distribuite con 11  diverse campagne. In dettaglio:

Gli allegati email più usati per infettare Windows

L'esperto di cyber sicurezza Lawrance Abrams ha pubblicato una breve guida sugli allegati email che sono comunemente usati per colpire il sistema operativo Windows: ormai, spiega nel testo, è necessario che tutti abbiano la capacità di riconoscere almeno i più comuni schemi di attacco di phishing via email e gli allegati dannosi più usati. Come abbiamo infatti scritto spesso, gli antivirus e le soluzioni di sicurezza non sono bastanti a sé stesse: l'anello debole della catena della sicurezza informatica resta infatti l'utente, che può essere convinto con l'inganno ad eseguire una macro o collegarsi ad un dominio compromesso, scavalcando anche gli alert che le soluzioni di cybersecurity possono mostrare. Insomma la consapevolezza dell'utente è e rimane una componente essenziale della cybersecurity. 

La catena di attacco
Pur differendo nei temi, questa tipologia di attacco si ripete con uno schema comune e consolidato: che si parli di fatture, invii, ritardi nei pagamenti, informazioni di spedizione, verifiche amministrative, protocolli sanitari anti Covid, verifica account poco conta. L'email di phishing classica ha un oggetto e testo finalizzati solo a convincere l'utente al download e all'apertura di un allegato compromesso, molto spesso in formato Word o Excel, oppure al clic su un link che consente il download degli stessi allegati dannosi. Se l'utente attiva la macro contenuta, si avvia l'infezione.

Prima di eseguire una macro in Word o Excel, Office chiede conferma all'utente, invitandolo a cliccare su "Modifica contenuti" o "Abilita macro",  con uno specifico alert di sicurezza

Questo passaggio di sicurezza, creato appositamente per allertare l'utente, è un ostacolo per gli attaccanti: questo è il motivo per il quale molti di questi documenti mostrano testo o immagini che indicano un problema di visualizzazione. Per risolvere questo fantomatico problema di visualizzazione, l'utente dovrebbe approvare la macro: una tecnica truffaldina che però ha grande successo.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose attive nel cyber spazio italiano. Di queste, ben 49 sono state mirate contro obiettivi italiani: soltanto 3 invece quelle generiche ma veicolate anche nello spazio italiano.

11 sono state le famiglie malware individuate in diffusione:

• Ursnif è stato individuato in diffusione in 3 campagne miorate a tema Resend e Delivery. Le email veicolavano allegati DOC e XLS. Il CERT segnala di aver scoperto una nuova tecnica di evasione di Ursnif;
  
• AgenTesla è stato in diffusione con 3 campagne mirate contro utenti italiani: le email veicolavano allegati R11 e ZIP;
• Formbook è stato diffuso con 3 campagne mirate a tema Pagamenti. Le email avevano allegati R00, ACE e XZ;
• Qakbot è stato in diffusione con due campagne a tema Resend e Documenti. Le email contenevano un link che portava al download di un archivio ZIP. Al suo interno un documento XLSB;
• SmsGrab è stato diffuso con due campagne mirate a tema Banking e Aggiornamenti. Il malware, pensato per i dispositivi Android, sottrae gli SMS e le invia al server C2;
• Guloader torna in diffusione dopo una lunga assenza, con una sola campagna a tema pagamenti. Le email contenevano un link a Onedrive dal quale scaricare direttamente l'EXE del malware.
• SMSControllo è stato veicolato con una campagna mirata contro utenti italiani via SMS. Il Malware ruba gli SMS e ha funzionalità di screen sharing;
• Snake torna in diffusione con una campagna a tema Ordine: le email veicolavano allegati UUE;
• sLoad è sato diffuso con una campagna mirata a tema Pagamenti. Le email contenevano archivi ZIP con VBS;
• Lokibot è stato diffuso con una campagna generica, ma attiva anche nello spazio italiano, a tema Documenti. Gli allegati vettore erano file DOC.
  

QakBot in breve:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 11 - 17 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose attive nel cyber spazio italiano. Ovviamente il report del CERT cita la vulnerabilità critica Log4Shell di Log4J, sicuramente la minaccia più pericolosa al momento. Qui i 5114 IoC resi disponibili dal CERT per mitigare questa minaccia. 

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

3 sono state le famiglie malware trovate in diffusione, alla quale vanno aggiunti però gli attacchi portati tramite Log4SHell per distribuire altri malware (Dridex e non solo).

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 09 - 15 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 31 campagne dannose attive nel cyber spazio italiano: 25 sono state mirate contro obiettivi italiani, 6 invece sono state campagne generiche veicolate anche in Italia. 889 gli indicatori di compromissione che il CERT ha messo a disposizione, consultabili dal sito istituzionale.

Le campagne malware analizzate sono state 12 e hanno visto la diffusione di 6 diverse famiglie malware:

Malware e campagne di attacco individuate dal CERT - 4° settimana Aprile: il nuovo Emotet è già sbarcato in Italia.

Neppure il tempo di parlarne e la nuova versione di Emotet è già al primo posto dei malware più diffusi in Italia la scorsa settimana. 

Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori downloader dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Emotet le ultime novità:
Le novità recenti sono pessime e non hanno fatto altro che anticipare quel che è la conferma della settimana, ovvero Emotet è tornato, è più forte di prima e non se ne andrà a breve. Le ultime novità riferiscono a due evidenze:

• il volume di email di spam per la diffusione di Emotet è passato da 3000 a 30000 email al giorno tra Febbraio e Marzo e il trend, anche per Aprile, è ancora in crescita;
• Epoch4, la parte dell'infrastruttura di Emotet usata a fini di test, sta diffondendo da un paio di settimane un nuovo payload del malware, che è passato da 32-bit a 64-bit. Il tasso di individuazione da parte delle più diffuse soluzioni di sicurezza è passato da 60% al 4%. 

Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

I malware della 4° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 36 campagne dannose. Tutte sono mirate contro utenti italiani eccetto una, che è stata generica ma veicolata anche nel cyber spazio italiano. Ben 1220 gli IOC messi a disposizione dal CERT. 

Le famiglie malware individuate in diffusione sono state 8, ecco la lista:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Marzo

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana Marzo

La scorsa settimana il CERT-AGID ha individuato e analizzato 38 campagne dannose attive nel cyber spazio italiano. Di queste, ben 36 sono state mirate contro obiettivi italiani; soltanto due invece quelle generiche ma veicolate anche nello spazio italiano. 1018 gli indicatori di compromissione individuati.

10 sono state le famiglie malware individuate in diffusione:

• Emotet è stato il malware più individuato in diffusione, per la terza settimana consecutiva. E' stato diffuso con ben 11 campagne, a tema Resend, Documenti o Pagamenti. Tutte le email contenevano un file archivio .ZIP con, al suo interno, documenti in formato XLSM o XLS. A loro volta questi erano usati per scaricare la DLL di Emotet. Analisi sui server C&C del malware hanno portato alla luce il fatto che alcuni di questi sono ospitati su hosting italiani;
• Brata è stato in diffusione con 3 diverse campagne a meta Banking e una a tema Avvisi di Sicurezza. E' stato diffuso via SMS contenenti un link che rimandava al download in un file in formato APK;
• Formbook è stato diffuso con 2 campagne, una mirata su utenti italiani e una generica ma veicolata anche in Italia. Entrambe le campagne sono state via email, a tema Pagamenti o Documenti con allegati di tipo ZIP o CAB. I ricercatori del CERT hanno notato come al campagna che ha fatto uso del file vettore CAB distribuisse anche un secondo CAB contenente, a sua volta, il malware Nanocore;
• Qakbot è stato diffuso con due campagne mirate contro utenti italiani, a tema Resend. Le email contenevano il link per il download di un archivio ZIP contenente un documento XLSB con macro dannosa;
• AgenTesla è stato diffuso con due campagne mirate, a tema Pagamenti. Le email veicolavano allegati in formato GZ e IMG;
• Snake è stato diffuso con una campagna a tema Ordine veicolata via email. Le email contenevano allegati ZIP con, al loro interno, un file esegubile EXE con funzionalità di dropper. Questo scarica un file PE da un repository remoto.
• Nanocore, come detto prima, è stato diffuso in un'unica campagna assieme al malware Formbook;
• Avemaria è stato diffuso con una campagna italiana a tema preventivo. E' stato diffuso via email contenenti allegai ZIP;
• Ursnif è stato diffuso con una sola campagna a tema pagamenti. E' stato diffuso via email contenenti allegati XLS;
• WarzoneRat è stato diffuso con una campagna email a tema Delivery. Le email contenevano allegati XLS.
  

QakBot in breve:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 24 - 30 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 24 - 30 Settembre

La scorsa settimana il CERT ha individuato e analizzato 20 campagne dannose attive nel cyber spazio italiano: 17 sono state mirate contro obiettivi italiani, 3 invece sono state generiche. Le famiglie malware in distribuzione sono state 6:

• AgenTesla è stato distribuito con 4 diverse campagne a tema Informazioni e Pagamenti. Le campagne email sono state 2 generiche e 2 mirate contro utenti italiani. Le email veicolavano allegati GZ, 7Z e IMG. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con due campagne, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati ZIP e ISO. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose, quasi 20 in meno rispetto alla settimana precedente. Il dato che colpisce è che la quasi totalità di queste, ben 34 su 35, sono state campagne mirate contro utenti italiani mentre soltanto una è stata generica ma veicolata anche nel cyber spazio italiano. 

Le famiglie malware in distribuzione sono state 8 e, caso più unico che raro, la medaglia d'oro spetta a Qakbot, che è stato il malware più diffuso. Ecco la lista:

• Qakbot è stato in diffusione con quattro campagne a tema Resend e Pagamenti. Le email contengono un link che conduce al download di un archivio ZIP. Al suo interno è presente un documento in formato XLSB;

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Maggio

La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose. Ormai si può dire che sono tutte mirate contro gli utenti italiani: una sola di queste, infatti, è stata generica ma veicolata anche nello spazio italiano, mentre tutte le altre sono state mirate. 

Le famiglie malware individuate in diffusione sono state 7, diffuse con 22 campagne. Capofila Emotet, che torna a primeggiare nel panorama delle cyber minacce contro gli utenti italiani:

• Emotet è stato diffuso con 14 campagne italiane. I temi sono stati Resend e Documenti. Le email allegavano archivi ZIP protetti da password, contenenti file LNK o XLS. Le campagne hanno riguardato sia utenti privati che pubbliche amministrazioni;
• Coper è stato individuato in diffusione con due campagne mirate contro utenti INPS e Intesa SanPaolo. I messaggi via SMS contenevano un link per installare un APK dannoso: un'app fake che in realtà cela il trojan bancario Coper;
• Qakbot è stato in diffusione con due campagne mirate a tema Resend. Le email contenevano il link per il download di un archivio ZIP: al suo interno un file LNK;
• Formbook è stato diffuso con una sola campagna mirata a tema Ordine. Le email veicolavano allegati ZIP;
• Ursnif è stato diffuso con una campagna a tema Documenti. Le email veicolavano il classico documento XLSX con macro dannosa;
• sLoad è stata di nuovo diffusa via PEC in email a tema Pagamenti. Le email contenevano allegati ZIP con all'interno, un ulteriore ZIP. Estratto quest'ultimo, si trova il vile VBS dannoso. Questa campagna è stata contrastata dal CERT in collaborazione coi provider PEC;
• AgentTesla è stato diffuso con una campagna a tema Ordine. L'email veicolava il classico allegato XLSX con macro dannosa.

Per approfondire > Alert del CERT: il banking trojan Coper sbarca in Italia

QakBot in breve:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 1-7 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1 - 7 Ottobre

La scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose: 18 sono state mirate contro gli utenti italiani, 4 sono invece state generiche ma circolate comunque nel cyber spazio italiano. 

Le famiglie malware individuate in diffusione sono state 8: tra tante conferme, c'è una novità. E' stato individuato in diffusione per la prima volta in Italia il malware per furto dati BluStealer. Ecco qui i malware diffusi:

• Formbook è stato diffuso con due diverse campagne email, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati dannosi nei formatiLZH e RAR.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• BluStealer è stato diffuso per la prima volta in Italia con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email  contenevano un link che rimanda al download di un file in formato ISO.
  Rimandiamo al dettagliato approfondimento del CERT per approfondire questa minaccia;
• Qakbot è stato diffuso con due campagne mirate, una a tema Resend e una a tema Pagamenti. Il corpo email conteneva un link che conduce al download di un archivio ZIP. Entro l'archivio sono presenti file ISO, LNK o XLSB.
  Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
• Lokibot è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati RAR;
• SMSRat è stato diffuso con una campagna circolata via SMS e rivolta ad utenti Android. Gli SMS erano a tema banking e contenevano un link che portava al download di un APK dannoso;
• AgentTesla è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati dannosi in formato XLSX.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Remcos è stato diffuso con una campagna a tema Documenti diffusa vie email con allegati RAR;
• IceID è stato diffuso con una campagna fale di Agenzia Entrate e Riscossione: le email veicolavano allegati XLS dannosi. La campagna ha riguardato anche indirizzi PEC. 

Lokibot in breve

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 05/02
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 35 campagne dannose: soltanto due di queste sono state campagne generiche distribuite anche nello spazio italiano, mentre 33 hanno preso di mira specificatamente obiettivi italiani. 449 gli indicatori di compromissione resi disponibili. 

7 sono state le famiglie di malware individuate: prima di elencarle però è utile far notare un'assenza che ha grosso peso. Non risultano individuazioni di campagne vettori del malware Emotet: il take down dell'infrastruttura botnet è stato davvero efficace.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana di Maggio

Il CERT-AGID la scorsa settimana ha individuato e analizzato, attive nello spazio italiano, 44 campagne dannose tutte mirate contro utenti italiani. Le campagne finalizzate alla distribuzione di malware sono state 21 e hanno portato alla diffusione di 9 famiglie malware.  

• Emotet è di nuovo il malware più diffuso in Italia, con 8 campagne tutte a tema Resend. Le email veicolavano allegati ZIP coperti da password contenenti file LNK e XLS;

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 29 Ottobre - 4 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 29 Ottobre - 4 Novembre

La scorsa settimana il CERT-agID ha individuato e analizzato 30 campagne dannose: 1 sola è stata generica mentre tutte le altre sono state mirate contro obiettivi italiani. 5 sono state le famiglie malware individuate in diffusione:

• Emotet torna a colpire in Italia dopo 4 mesi di assenza. E' stato diffuso con ben 5 diverse campagne: le solite email con allegati archivio ZIP protetti da password e contenenti file Excel con macro dannosa. Per approfondire > Emotet torna a colpire in Italia;
• AgentTesla è stato diffuso con quattro campagne a tema Pagamenti e Delivery. Le email vettore veicolavano alleati 7Z, ISO e RAR. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato diffuso con una campagna email che simulava l'invio delle bollette Enel: le email sono circolate nel circuito PEC con allegati dannosi XLS;
• Formbook è stato diffuso con una campagna a tema Ordine: le email veicolavano allegati archivio 7Z. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• Qakbot è stato diffuso con una campagna a tema Resend veicolata via email. Gli allegatio erano file archivio ZIP contenenti, al loro interno, file ISO. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;

IceID in breve:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 11/09
La scorsa settimana il CERT-AgID ha individuato 13 campagne di attacco contro utenti italiani, per i quali l'agenzia ha prodotto ben 321 indicatori di  compromissione (IoC). Tra i malware, i più attivi della settimana sono stati FormBook e MassLogger. 

MassLogger è un keylogger molto diffuso, acquistabile da chiunque nel dark web alla modica cifra di 45 dollari per una licenza a vita. Questo lo ha reso un malware molto gettonato, uno strumento conveniente ma molto efficace nel furto di dati, sopratutto di dati sensibili e credenziali di accesso. E' distribuito via email, tramite apposite campagne di phishing. Qui è disponibile un approfondimento del CERT-AgID

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate  contro utenti italiani. Record di indicatori di compromissione individuati, ben 774. 

Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 05 - 11 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 05 - 11 Novembre

La scorsa settimana il CERT ha intercettato e analizzato 36 campagne dannose: di queste 32 sono state mirate contro utenti italiani mentre 4 sono state generiche ma veicolate anche nel cyber spazio italiano. Le famiglie individuate in diffusione sono state 7, con una sovraesposizione del malware Emotet. Ecco il dettaglio:

• Emotet è stato diffuso con 11 diverse campagne a tema Documenti, Pagamenti e Resend. Le email hanno veicolato allegati ZIP e XLS. Per la diffusione sono state usate le parti Epoch5 e Epoch4 dell'infrastruttura di Emotet. Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento;
• AgentTesla è stato diffuso con 6 diverse campagne a tema Pagamenti e Delivery: 2 di queste sono state campagne generiche, ma 4 invece sono state mirate contro utenti italiani. Gli allegati vettore sono stati nei formati 7Z, ACE, IMG e DOC. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato in diffusione con 2 campagne mirate molto insidiose: uno a tema Energia, che ha simulato comunicazioni relative a bollette Enel e una che ha simulato comunicazioni dell'Agenzia delle Entrate. Le email hanno veicolato allegati XLS. Maggior info sul canale Telegram del CERT;

La botnet di Emotet abbattuta da una operazione congiunta di forze dell'ordine

L'infrastruttura della famigerata botnet Emotet è stata di nuovo bersaglio di un attacco coordinato da Europol e Eurojust, culminata nel down dell'infrastruttura stessa. L'operazione di attacco ha consentito ad una commissione di forze dell'ordine e authority inglese, statunitense, francese, lituana, ucraina, canadese e olandese di prendere il controllo dei server e interrompere le operazioni malware. 

L'operazione ha avuto luogo dopo un ampio sforzo investigativo globale, col supporto di alcune autorità giudiziarie: l'infrastruttura è stata abbattuta dall'interno una volta ottenuti i controllo di amministrazione dei server all'inizio di questa settimana. 

"L'infrastruttura utilizzata da Emotet comprendeva centinaia di server dislocati in tutto il mondo, tutti dotati di funzionalità per gestire i computer infetti delle vittime e organizzare infezioni ulteriori, per supportare altri gruppo criminali e, infine, per rendere la rete più resiliente ai tentativi di takedown" ha dichiarato l'Europol. 

"Le macchine infette delle vittime  sono adesso reindirizzate verso questa infrastruttura controllata dalle forze dell'ordine. Si tratta di un nuovo e unico approccio per riuscire a interrompere efficacemente le attività di coloro che vivono e facilitano la criminalità informatica".