Sintesi riepilogativa delle campagne malevole della settimana 06/11/2020
riepilogo
Questa settimana il CERT-AGID ha riscontrato ed analizzato complessivamente 25 campagne malevole attive nello scenario italiano, mettendo a disposizione dei suoi enti accreditati un totale di 223 indicatori di compromissione (IOC).
Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici della piattaforma del CERT-AGID:
I temi più rilevanti della settimana
Tra i temi principali sfruttati per veicolare le campagne malevole sul territorio italiano si distinguono in particolar modo Pagamenti e Banking.
Malware della settimana
Sono state osservate nel panorama italiano 6 famiglie di malware. Nello specifico, hanno impegnato particolarmente la settimana le seguenti campagne.
Dridex, due campagne a tema “Pagamenti” scritte in lingua inglese ma veicolate anche verso destinatari italiani. Le email allegano il classico file xlsm.
AgentTesla, sempre restando sul tema “Pagamenti” sono state osservate due campagne AgentTesla di cui una scritta in lingua italiana che riporta in allegato due file .exe ed una in inglese che allega un file compresso .lha con dentro un eseguibile .exe.
Lokibot, Qrat e Remcos, sono stati attivi con campagne sporadiche a temi “Pagamenti” e “Informazioni” riportando in allegato rispettivamente file .ace, .zip e .ico.
Phishing della settimana
Settimana particolarmente ricca di campagne di phishing che hanno preso di mira il settore bancario. Oltre al classico phishing si è avuta evidenza di diversi tentativi di phishing via SMS (smishing).
IntesaSanpaolo, anche per questa settimana è stato il brand a tema “Banking” più sfruttato dai criminali.
Poste, è stata oggetto di diverse campagne mirate, per una delle quali il CERT-AGID ha provveduto ad emettere un avviso, sfruttando temi differenti di cui due “Spid”, successive all’evento click day, e altre due rispettivamente “Delivery” e “Informazioni”.
BNL, Unicredit, MPS e BCC, completano il panorama delle campagne italiane a tema “Banking”.
Zimbra, campagna di phishing in lingua italiana il cui scopo è quello di sottrarre le credenziali email di utenti che usano (principalmente) la soluzione Zimbra facendo leva su un falso aggiornamento.
Aruba, come ogni settimana l’immancabile appuntamento con le campagne di phishing con i loghi di Aruba che richiede “Pagamenti” per dominio scaduto.
