In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 33 campagne malevole di cui 30 con obiettivi italiani e 3 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 538 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 11 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

1. Banking utilizzato esclusivamente per le campagne di phishing che interessano il settore bancario.
2. Pagamenti tema utilizzato per veicolare i malware AgentTesla e Dridex.
3. Resend esclusivamente sfruttato per veicolare Qakbot.
4. Aggiornamenti per le campagna di phishing generico mirate alle Webmail.
5. Ordine tema utilizzato per veicolare Dridex, Lokibot e AgentTesla.
6. Avvisi sicurezza sfruttato per veicolare phishing Zimbra e ancora una volta Camera dei Deputati.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 5 famiglie di malware per un totale di 12 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Dridex – quattro campagne generiche a tema “Pagamenti” veicolate tramite email con allegati XLS, XLSM e ZIP.

Qakbot – tre campagne italiane a tema “Resend” e allegati ZIP veicolati via email.

AgentTesla – tre campagna generiche a tema “Ordine” e “Pagamenti” diffuse tramite email con allegati ISO e GZ.

RedLine – rilevato a seguito delle attività di monitoraggio di domini sospetti. In questo caso si trattava di un falso plugin LastPass, a tal proposito il CERT-AGID ha pubblicato una analisi e diramato gli IoC attraverso apposita news.

Lokibot – campagna genericha a tema “Ordine” e “Pagamenti” diffuse tramite email con allegati GZ.

Phishing della settimana

Su un totale di 21 campagne di phishing, sono 11 i brand coinvolti questa settimana. Nello specifico:

Webmail generic – le campagne di phishing mirata al furto di credenziali di accesso a webmail generiche ricoprono la prima posizione con sei campagne individuate.

Poste, Nexi, Intesa Sanpaolo, MPS, Paypal – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”.

Sky – continuano anche questa settimana le campagne a tema “Abbonamento” e “Streamanig” mirate a sottrarre le credenziali dei clienti.

DHL – campagna a tema “Delivery” mirate al furto dei dati delle carte di credito.

Zimbra – campagna a tema “Avvisi sicurezza” il cui scopo è quello di sottrarre le credenziali di accesso alla webmail.

Camera dei Deputati – campagna a tema “Avvisi sicurezza” che sfrutta i loghi della Camera dei Deputati per richiedere l’accesso alla webmail.

Netflix – campagna a tema “Streaming” mirata a sottrarre gli estremi della carta di credito.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche