In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole di cui 51 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1050 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 17 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

Banking è stato utilizzato per le campagne di phishing che interessano il settore bancario e per veicolare un APK (Xenomorph).

Pagamenti tema utilizzato per veicolare i malware Formbook, AgentTesla, Emotet e IceID.

Resend è stato sfruttato per veicolare i malware Qakbot (Qbot) ed Emotet.

Inps tema d’eccezione utilizzato dal malware Ursnif.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 11 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Formbook – quattro campagne, di cui tre italiane ed una generica, a tema “Preventivo” e “Pagamenti” veicolate tramite email con allegati 7Z, GZ e DOC.

Emotet – campagne mirate per l’Italia veicolate tramite email a tema “Resend”, “Documenti” e “Pagamenti” con allegati XLSM, XLS e ZIP.

Ursnif – tre campagne italiane a tema “INPS” veicolate tramite email e allegati ZIP contenenti file HTA e VBS.

AgentTesla – tre campagne a tema “Ordine” e “Pagamenti” veicolate tramite email con allegato file ISO, R00 e GZ.

Qakbot – due campagne italiane a tema “Resend” veicolate tramite email con link al download di file ZIP contenenti XLSB mentre in alcuni casi il link scarica direttamente un file XLSB.

StrRat – campagna italiana a tema “Contratti” veicolata tramite email con allegati file JAR.

SmsControllo – Un apk denominato “IntesaSanpaolo-Aggiornamento.apk” in grado di leggere gli SMS ricevuti ed inviarli ad un server. Il sample è collegato ad una campagna di phishing a tema “Aggiornamenti” ai danni di clienti Intesa Sanpaolo.

Xenomorph – campagna italiana a tema “Banking” veicolata tramite SMS con link al download di APK.

HermeticWiper – diramati gli IoC relativi ai malware che hanno interessato l’Ucraina.

Lokibot – campagna italiana a tema “Contratti” veicolata tramite email con allegati XLSX.

IceID – campagna italiana a tema “Pagamenti” veicolata tramite email con allegato ZIP contenenti file VBS.

Phishing della settimana

Su un totale di 29 campagne di phishing, sono 18 i brand coinvolti questa settimana che interessano totalmente il settore bancario ad eccezione delle campagne: Webmail generic, Wetransfer, Enel, Sky, Virgilio, Premi, Amazon, Onedrive.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche