Questa settimana il CERT-AgID ha riscontrato ed analizzato complessivamente 33 campagne malevole attive nello scenario italiano, mettendo a disposizione dei suoi enti accreditati un totale di 224 indicatori di compromissione (IOC).

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici della piattaforma del CERT-AgID:

I temi più rilevanti della settimana

Malware della settimana

• Ursnif, ha dominato la settimana con quattro campagne massive di cui due a tema “INPS e due a tema “Delivery” (BRT) veicolando allegati di tipo XLS e XLSm. Relativamente alle tipologie di campagne e alle metodologie utilizzate dai criminali, il CERT-AGID ha condotto le proprie analisi e rilevato alcuni retroscena interessanti.
• Dridex, è stato veicolato in Italia tramite tre campagne: due a tema “Delivery” scritte in lingua italiana e una a tema “Pagamenti” in lingua inglese. In tutti e tre i casi il file allegato è un XLSm.
• MassLogger e AgenTesla, hanno coperto interamente le giornate di lunedi 5 e martedi 6 con campagne a tema “Pagamenti” e “Scansione” veicolando allegati di vario tipo: zip, rar, img. Nella giornata di giovedi 8 una nuova campagna MassLogger ha invaso le caselle di posta degli italiani con una mail in lingua slovacca. Anche per questa settimana il CERT-AGID ha avuto evidenza di esfiltrazione di credenziali da parte del gruppo criminale che lavora dietro MassLogger. Inoltre, il C2 di MassLogger “akinitaviotias[.]gr” risulta utilizzato in 4 campagne a partire dal 1 ottobre.
• Lokibot, dopo un lungo periodo di assenza, martedi 7 è stata veicolata in Italia una corposa campagna a tema “Banking” con allegati di tipo zip, img e iso.

Phishing della settimana

• IntesaSanpaolo, cinque campagne di phishing a tema “Banking” in lingua italiana di cui tre veicolate tramite email e due via sms.
• BPM, BNL, Iccrea, Findomestic, completano le campagne di phishing italiane a tema “Banking”.
• Zimbra e Full Inbox, campagne di phishing in lingua italiana il cui scopo è quello di sottrarre le credenziali email di utenti che usano (principalmente) la soluzione Zimbra facendo leva sulle azioni della vittima alla ricezione del messaggio di “Casella piena”.
• TIM, campagne in lingua italiana a tema “Pagamenti” relative al settore telefonia.
• Aruba e Outlook, campagne di phishing con invito ad inserire le credenziali di posta in risposta al messaggio di “Casella piena” o “Riattivazione”.
• DHL, campagne sporadiche a tema “Delivery”.
• INPS, campagna a tema “Rimborso” veicolata nella giornata di martedi 6.

Formati di file principalmente utilizzati per veicolare i malware

I metodi utilizzati questa settimana per veicolare le campagne malevole

Sistemi utilizzati per veicolare le campagne