In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 18 campagne malevole con obiettivi italiani e 2 campagne generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 141 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking principalmente utilizzato per campagne di phishing mirate al settore bancario e che hanno sfruttato i nomi di tutte le principali banche italiane. Questo tema è stato anche sfruttato per veicolare il malware Brata e per una campagna Lokibot.
2. Pagamenti è stato utilizzato per le campagne Ursnif, Formbook ed sLoad;
3. Documenti tema sfruttato per veicolare campagne di phishing a brand WeTransfer e per una campagna volta a veicolare il malware Formbook.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 7 famiglie di malware per un totale di 10 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Campagne a tema “Delivery” (DHL) e “Preventivo” veicolate tramite email con allegati GZ;
2. Brata – Individuate due campagne italiane a tema “Banking” e “Assistenza”. In quest’ultima è stata rilevato in fase di analisi un messaggio per gli analisti del CERT-AgID da parte degli autori del malware. I dettagli e gli IoC sono disponibili sul consueto canale Telegram;
3. Formbook – Due campagne generiche veicolate tramite email con allegati XLSX;
4. Lokibot – Campagna a tema “Banking” (ISP) veicolata tramite email con allegati ZIP contenenti ISO;
5. sLoad – Campagna italiana a tema “Pagamenti” veicolata tramite PEC con link al download di file ZIP contenenti VBS malevolo. I dettagli e gli IoC sono disponibili sul canale Telegram del CERT-AgID;
6. Ursnif – Campagna a tema “Agenzia Entrate” veicolata tramite email con allegati XLSM. I dettagli e gli IoC disponibili sul canale Telegram;
7. AsyncRat – Campagna italiana a tema “Ordine”.

Phishing della settimana

Su un totale di 10 campagne di phishing sono 9 i brand coinvolti questa settimana al fine di sottrarre credenziali di accesso ed estremi del conto corrente.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche