In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 63 campagne malevole, di cui 38 con obiettivi italiani e 25 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 667 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Nelle campagne italiane il tema è stato sfruttato sia per veicolare malware sia per per campagne di phishing. Sul fronte malware, sono state identificate campagne Stealerium, Crocodilus, Copybara e SuperCardX. Per quanto riguarda il phishing, sono emerse campagne via email ai danni di Intesa Sanpaolo e BPER, nonché cinque campagne via PEC dirette a Intesa Sanpaolo, Findomestic, Credem e Hype.
2. Delivery – Tema impiegato in sei campagne via email che diffondono malware e phishing. Si registrano due campagne generiche Remcos, una campagna generica FormBook e una campagna italiana MassLogger. A complemento, due campagne di phishing via email hanno sfruttato l’identità di Poste Italiane per sottrarre credenziali agli utenti.
3. Pagamenti – Argomento adoperato in sei campagne diffuse via email. Nelle quattro campagne generiche è stato impiegato per distribuire i malware FormBook, VipKeylogger, XWorm e SnakeKeylogger. In ambito italiano, una campagna ha veicolato MassLogger e un’altra ha puntato al phishing sfruttando il brand Aruba per sottrarre credenziali.
4. Multe – Tema principalmente sfruttato in campagne italiane di phishing via email ai danni di PagoPA, in cui vengono inviati falsi avvisi di multa per indurre gli utenti a inserire gli estremi della propria carta di credito.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Il CERT-AGID ha rilevato una nuova campagna di phishing ai danni dell’Agenzia delle Entrate. E-mail malevole informano di una presunta “Notifica amministrativa” e invitano a cliccare un link per accedervi. Le vittime vengono così indirizzate a una pagina fraudolenta (ospitata su differenti domini) che imita l’aspetto del portale di AdE. Lo scopo è sottrarre le credenziali di accesso (e-mail e password) degli utenti. Ulteriori dettagli e download degli IoC nel post Telegram del CERT-AGID.
• È stata analizzata dal CERT-AGID una nuova campagna che distribuisce il malware Adwind, mirata a Italia, Spagna e Portogallo. Gli attaccanti sfruttano l’invio di e-mail che presentano un allegato PDF, solitamente denominato “Documento.pdf” o “Fattura.pdf”, contenente un collegamento a servizi di cloud storage come OneDrive o Dropbox, da cui viene scaricato un file VBS o HTML con codice offuscato. Ulteriori dettagli nella news dedicata.

Malware della settimana

Sono state individuate, nell’arco della settimana, 15 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Remcos – Individuata una campagna italiana a tema “Contratti” diffusa via email con allegato 7Z e quattro campagne generiche a tema “Delivery”, “Ordine” e “Documenti” anch’esse diffuse via email contenenti archivi ACE e GZ.
2. FormBook – Rilevate quattro campagne generiche a tema “Delivery”, “Pagamenti”, “Preventivo” e “Ordine” diffuse via email con allegati LZH e ZIP e documenti DOCX.
3. MassLogger – Identificate due campagne italiane a tema “Delivery” e “Pagamenti” diffuse via email con allegati ZIP e ZIPX.
4. Stealerium – Rilevate due campagne italiane a tema “Banking” diffuse via email con allegati XLAM e ZIP.
5. SuperCardX – Riscontrate due campagne italiane a tema “Banking” diffuse via PEC con lo scopo di distribuire il malware per Android.
6. Copybara – Individuate due campagne italiane a tema “Banking” diffuse via SMS.
7. SnakeKeylogger – Scoperte due campagne generiche a tema “Pagamenti” e “Preventivo” diffuse via email con allegati ZIP.
8. XWorm – Individuata una campagna generica a tema “Pagamenti” diffusa via email con allegato archivio ZIP.
9. Adwind – Riscontrata una campagna italiana a tema “Fattura” diffusa via email con allegato PDF.
10. Crocodilus – Scoperta una campagna italiana a tema “Banking” diffusa via SMS e volta alla distribuzione di APK malevolo.

Phishing della settimana

Sono 15 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA, Aruba e Poste Italiane, oltre alle sempre presenti campagne ad argomento Webmail generica.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche