In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 18 campagne malevole di cui 14 con obiettivi italiani e 4 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 623 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 10 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano: 

• Banking per la campagne di phishing che interessano il settore bancario.
• Pagamenti per veicolare diverse campagne di malware.
• Ordine per veicolare principalmente Formbook e Remcos.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 7 famiglie di malware per un totale di 12 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Formbook – quattro campagne di cui due italiane a tema “Ordine” e due generiche a tema “Preventivo” e “Contratti”. FormBook è stato distribuito tramite email con allegati LZH, XZ e EXE, in un caso è stata rilevata un email con link ISO.

Hancitor – due campagne, una generica ed una italiana, rispettivamente a tema “Documenti” e “Pagamenti” veicolate tramite email con link al download di un file DOC. Ancora una volta Hancitor è stato utilizzato per veicolare CobaltStrike.

Lokibot – due campagne italiane a tema “Banking” e “Pagamenti” veicolate tramite email con allegati ZIP e XLSX.

AgnetTesla – campagna italiana a tema “Contratti” e allegati RAR.

Remcos – campagna italiana a tema “Ordine” veicolata tramite email con link al download di file ISO.

Nanocore – dopo tre mesi torna in Italia la campagna Nanocore veicolata tramite email a tema “Pagamenti” e allegati GZ.

Ursnif – campagna generica a tema “Pagamenti” veicolata tramite email con allegati GZ.

Phishing della settimana

Sono 6 i brand coinvolti nelle campagne di phishing monitorate in questa settimana.

BPM e MPS – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”.

Apple – campagna italiana a tema “Acquisti” veicolata tramite email che punta a dominio .shop nel quale viene mostrato un catalogo prodotti e la gestione del carrello. Il pagamento può essere effettuato solo tramite bonifico verso un iban italiano intestato a Istituto bancario XFinancial Services.

Amazon – campagna a tema “Premi” con link ad una finta lotteria che promuove la possibile vincita di un SAMSUNG 4K TV. Dopo la compilazione della prima form con dati personali, viene richiesto il pagamento con carta. La landing page è raggiungibile solo da dispositivo mobile.

Sky – campagna a tema “Aggiornamenti” con link a domini registrati ad-hoc che presentano una finta pagina per aggiornare l’account. Lo scopo è quello di sottrarre le credenziali di accesso al servizio.

Outlook – campagna italiana a tema “Aggiornamenti” che invita gli utenti ad inserire le proprie credenziali di posta su pagine di phishing che emulano il login Outlook Web Access.

Formati di file principalmente utilizzati per veicolare i malware