In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole con obiettivi italiani e 2 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 285 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

I temi più rilevanti della settimana

Sono 13 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking utilizzato per campagne di phishing mirate al settore bancario e per veicolare i malware Brata e SmsRat.
2. Delivery è stato utilizzato per campagne di smishing e per veicolare il malware SVCReady.
3. Pagamenti e Preventivo temi sfruttati per campagne malware volte a diffondere Lokibot, Formbook, AgentTesla e Guloader.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 9 famiglie di malware per un totale di 14 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. Brata – Rilevate due campagne italiane a tema banking, di cui una rivolta a clienti BPM, veicolate tramite SMS con link al download del file APK.
2. Lokibot – Rilevate due campagne italiane a tema “Pagamenti” e “Preventivo” veicolate tramite email con allegati IMG contenenti VBS e UUE.
3. Formbook – Individuate due campagne, di cui generica ed una italiana, rispettivamente a tema “Contratti” e “Pagamenti”, veicolate tramite email con allegati XZ e 7Z.
4. Guloader – Due campagne italiane a tema “Preventivo” veicolate tramite email con allegati GZ. A tal proposito il CERT-AgID ha pubblicato un approfondimento al fine di poter analizzare Guloader che sembra essere diventato sempre più tedioso.
5. SVCReady – Sono state riscontrate due campagne italiane a tema “Covid-19” e “Delivery” diffuse tramite email con allegati DOC.
6. Ursnif – Campagna italiana a tema “Agenzia Entrate” veicolata tramite email con allegati XLSM. I dettagli e gli IoC sono disponibili sul canale Telegram del CERT-AgID.
7. AgentTesla – Campagna italiana a tema “Pagamenti” veicolata anche in Italia tramite email con allegati 7Z.
8. Snake – Campagna italiana a tema “Informazioni” veicolata anche in Italia tramite email con allegati ZIP.
9. SmsRat – Campagna italiana a tema “banking” veicolata tramite SMS con link al download del file APK che si spaccia per una App di sicurezza.

Questa settimana, per la prima volta dopo tre mesi, non si ha evidenza di campagne Emotet.

Phishing della settimana

Su un totale di 15 campagne di phishing sono 10 i brand coinvolti questa settimana il cui fine è quello di sottrarre credenziali di accesso ed estremi del conto corrente. Fanno eccezione le campagne “Unsubscribe” il cui scopo è quello di collezionare account email attivi.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche