Report annuale sull’andamento delle campagne malevole che hanno interessato l’Italia nel 2022

05/01/2023

2022

Analizzando i dati definitivi nell’anno 2022, il CERT-AGID ha rilevato e contrastato 1763 campagne malevole, per una media di quasi 5 al giorno, ed ha condiviso con le proprie organizzazioni accreditate un totale di 31978 indicatori di compromissione (IoC).

Nel 2021 le campagne rilevate erano state 496, ma bisogna precisare però che questo dato non è direttamente confrontabile con quello del 2022 per via della differente infrastruttura di monitoraggio usata, anche se rende abbastanza bene la tendenza del peggioramento del quadro in atto.

I malware più usati appartengono alla famiglia degli “Infostealer”

Il 93% degli IoC diramati nel 2022 ha riguardato le campagne malware di tipo Infostealer veicolate sul territorio italiano.

Più in generale, sono 56 le famiglie di malware osservate nel corso dell’anno trascorso e quelle che hanno maggiormente interessato il Paese sono: Emotet, AgentTesla, Formbook, Ursnif, Qakbot, Brata, Lokibot, AveMaria, IcedId, Snake e sLoad.

Rispetto agli anni precedenti questi malware si sono notevolmente evoluti introducendo nuove funzionalità per eludere le difese, acquisire alti privilegi e garantirsi la persistenza e la costante comunicazione con i C2.

Le informazioni carpite dai sistemi compromessi vengono solitamente rivendute agli operatori ransomware, in rari casi è stato osservato il caricamento di un beacon Cobalt Strike pochi minuti dopo l’infezione per consentire agli aggressori di intervenire manualmente sul sistema e di sferrare attacchi ransomware.

Continua a crescere l’uso dello Smishing

È aumentato anche il numero di campagne veicolate tramite messaggi SMS.

L’uso di SMS al fine di sottrarre informazioni tramite phishing (fenomeno spesso indicato con il termine Smishing) è particolarmente sfruttato da attori italiani. I temi più usati sono quelli riguardanti gli avvisi di sicurezza di istituti bancari o l’erogazione di servizi/bonus INPS. In questo caso gli attori, conoscendo bene la natura delle vittime, sanno su quali temi fare leva efficacemente.

Gli SMS sono spesso usati anche per la diffusione di malware volti a compromettere dispositivi mobili con lo scopo di prenderne il controllo e carpire informazioni. La maggior parte dei campioni analizzati sono di matrice estera ma riutilizzati in Italia, il tema usato è più generico e solitamente fa riferimento a spedizioni o pacchi da consegnare. L’obiettivo principale è quello di acquisire gli SMS ricevuti dalle vittime come secondo fattore di autenticazione (2FA).

Si sono distinti quest’anno ben 8 famiglie di malware specifici per dispositivi Android: Brata, SmsGrab (matrice italiana), SmsRat (matrice italiana), Coper, SmsControllo (matrice italiana), Malibot, SpyNote e Xenomorph.

Rimane bassa la diffusione di campagne via PEC

Si mantiene basso il numero di campagne perpetrate attraverso account compromessi di Posta Elettronica Certificata (PEC). Oltre a sLoad, già noto per le tecniche di evasione che puntualmente adopera per eludere i controlli sugli allegati PEC, sono state osservate e contrastate campagne Emotet, IcedId e WinGo. In questi ultimi casi si tratta probabilmente di spillover, ovvero di campagne malware PEO che hanno poi raggiunto caselle PEC. L’unico malware che usa esclusivamente (o comunque principalmente) le comunicazioni PEC rimane sLoad.

Sono stati segnalati anche tentativi di frodi via PEC perpetrati tramite “ingegneria sociale”. Tali campagne sfruttano la suggestione della comunicazione PEC usata solo per “posta importante e certificata”.

I temi riguardanti soldi e vendite sono sempre quelli più in voga

Oltre il 50% dei temi sfruttati dagli attori criminali per diffondere le campagne malware fa leva su comunicazioni che invitano le vittime a prendere visione di fantomatici “Ordini e Pagamenti” o che fingono di riprendere una comunicazione già intercorsa con la vittima, come “Comunicazioni passate“.

A seguire, il tema generico dei “Documenti” che desta sempre una certa curiosità nella vittima poichè, tipicamente per lavoro, si ha sempre a che fare con qualche sorta di documento.

Le campagne mirate e meglio strutturate abusano inoltre di loghi e di finte comunicazioni provenienti da noti “Istituti bancari” o dalla “Pubblica Amministrazione” italiana. Questo genere di campagne, in forte crescita rispetto agli anni precedenti, fa leva sul carattere di urgenza della comunicazione ed incita la vittima a cliccare sul link o su un allegato al fine di non incorrere in ritardi di pagamento e quindi ad eventuali penali.

In crescita anche il tema delle “Spedizioni” che imita le comunicazioni dei corrieri per tracciare la spedizione di un presunto pacco o per consultarne la ricevuta. Solitamente, il link o l’allegato puntano al download di file di tipo MS Office “armato” di una macro malevola.

Sono sempre presenti, ma comunque in calo rispetto agli anni precedenti, le campagne che sfruttano temi generici come quelli degli “Avvisi/aggiornamenti” e “Preventivi/contratti“.

Per le restanti campagne, sono stati utilizzati sporadicamente argomenti che riguardano i settori di “Energia“, “Legale“, “Sociale“, etc.

I documenti Office e gli archivi ZIP i più usati per veicolare malware

Il tipo di file allegato più usato in assoluto per le campagne malevole è il formato compresso, in particolare i file con estensione Zip, contenenti a loro volta documenti MS Office, file formato immagine montabili o file contenenti script.

Tra i formati compressi, i file di tipo Zip incidono per il 63%, seguiti da file in formato Gz per il 10.1% e dal formato Rar per il 9.8%.

I documenti MS Office rimangono un importante vettore di trasmissione dei malware, principalmente i fogli Excel e documenti Word. Sono stati trovati anche formati di documenti OneNote contenenti vettori di infezione.

In Italia è stato raramente osservato lo sfruttamento dell’Exploit per Equation Editor (CVE-2017-11882). La novità in abito di exploit usati da macro malevole è stata Follina (CVE-2022-30190), osservata anche in Italia.

Taggato  2022