In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 31 campagne malevole di cui 25 con obiettivi italiani e 6 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 889 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 10 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

1. Banking esclusivamente la campagne di phishing che interessano il settore bancario.
2. Ordine tema sfruttato per diffondere i malware Formbook, AgentTesla e Lokibot.
3. Delivery utilizzato per diffondere i malware Ursnif e AgentTesla ed una campagna di phishing BRT.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 6 famiglie di malware per un totale di 12 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Qakbot – individuate tre campagne di cui una italiana a tema “Resend” e due generiche a tema “Documenti” diffuse tramite email con link al download di file ZIP e XLS.

Lokibot – tre campagna italiane a tema “Ordine” diffuse tramite email con allegati a file GZ e ISO.

Formbook – due campagne di cui una italiana ed una generica entrambe a tema “Ordine”. Gli allegati utilizzati per veicolare il malware sono di tipo DOC.

AgentTesla – rilevate due campagne di cui una italiana ed una generica rispettivamente a tema “Ordine” e “Delivery” veicolate via email con allegati GZ e IMG.

Ursnif – campagna italiana a tema “Delivery” (BRT) veicolata tramite email con allegati XLS.

Dridex – campagna generica a tema “Pagamenti” veicolata tramite email con allegati XLS la cui macro detiene 172 indirizzi differenti da cui scaricare la DLL che verrà successivamente eseguita.

Phishing della settimana

Su un totale di 19 campagne di phishing, sono 11 i brand coinvolti questa settimana. Nello specifico:

Poste, Intesa Sanpaolo, Nexi, Mediolanum, Fineco – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”. Il phishing Bank generic invece riguarda una campagna generica, senza specificare brand, che invita ad aggiornare i dati della carta di credito.

Email generic – due campagne di phishing di cui una generica ed una italiana rispettivamente a tema “Undelivered” e “Avvisi sicurezza” mirate al furto di credenziali di accesso a webmail.

Agenzia Entrate – campagna a tema “Agenzia Entrate”, rilevata su dominio registrato ad-hoc.

Tiscali – campagna a tema “Informazioni” ospitata su dominio registrato ad-hoc.

Sky – campagna a tema “Abbonamento” invita le vittime a rivedere l’abbonamento e chiede di inserire gli estremi della carta di credito.

BRT – campagna di phishing a tema “Delivery” veicolate in Italia con l’obiettivo di sottrarre le credenziali di accesso al servizio.

Formati di file principalmente utilizzati per veicolare i malware