In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 19 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 17 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 547 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Tra i 7 temi sfruttati per veicolare le campagne malevole sul territorio italiano emergono Pagamenti e Banking.

Malware della settimana

Sono state osservate nello scenario italiano 8 famiglie di malware. Nello specifico, di particolare rilievo questa settimana troviamo le seguenti campagne:

Ursnif – tre campagne rispettivamente a tema “Documenti”, “Energia” e “Aggiornamenti” mirate per utenti italiani con lo scopo di diffondere Ursnif tramite allegati ZIP, XLS e DOC. Anche questa settimana, le campagne sono durate a lungo cambiando allegati nel primo pomeriggio.

AgentTesla, ASTesla– sono state individuate due campagne AgentTesla a tema “Pagamenti” ed una ASTesla a tema “Conferma” per veicolare i rispettivi sample, afferenti la medesima famiglia, tramite allegati di tipo ACE.

sLoad – una nuova campagna malspam via PEC per veicolare sLoad è stata individuata nella giornata di lunedì a partire dalla mezzanotte e terminata alle ore 08:52. I dettagli e gli IoC sono stati riportati il giorno stesso in una apposita news.

Lokibot, Formbook, Qakbot, Dridex  – completano il panorama delle campagna malware gestite questa settimana.

Phishing della settimana

Sono 5 i brand coinvolti nelle campagne di phishing. Tra i brand più sfruttati emergono Poste e Nexi. Di seguito, una lista sintetica dei soggetti coinvolti:

Poste – rilevate tre campagne di phishing il cui scopo era quello di sottrarre le credenziali di accesso o le carte di credito agli utenti del servizio Poste Italiane.

Nexi – due campagne a tema “Banking” simulano false comunicazioni Nexi invitando l’utente ad aggiornare i propri dati.

IntesaSanpaolo – questa settimana il brand non detiene il primato. È stata individuata una sola campagna di phishing a tema “Banking” rivolta agli utenti di IntesaSanpaolo.

Microsoft, TNT – completano le campagne di phishing individuate e gestite nel corso della settimana. Il caso del phishing Microsoft è simile ai precedenti: pagina realizzata su wixsite ed email che sollecita una azione con la scusa dell’account sospeso. Mentre la campagna TNT ha sfruttato il tema pagamenti per invitare la vittima a compilare una form nella quale si richiedono gli estremi della carta di credito.

Formati di file principalmente utilizzati per veicolare i malware