In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole di cui 20 con obiettivi italiani e 6 generiche che hanno comunque coinvolto l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 269 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Riattivazione tema sfruttato per le campagne di phishing con richiesta di riattivazione dominio. Il fine è quello di sottrarre le credenziali di accesso e/o i dati del conto corrente.
2. Banking utilizzato in particolare per campagne di phishing rivolte ai clienti di istituti bancari di matrice italiana.
3. Pagamenti tema sfruttato per veicolare i malware Formbook, Purelogs e Guloader.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 7 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. Ursnif – Rilevate 3 campagne italiane di cui due a tema “Agenzia Entrate” veicolate tramite ZIP contenenti file URL (connessione SMB) e una a tema Delivery veicolata con allegati XLS.
2. Formbook – Due campagne di cui una generica a tema “Pagamenti” ed una italiana a tema “Ordine” veicolate rispettivamente tramite email con allegati XLS e 7Z.
3. AgentTesla – Individuate 2 campagne generiche a tema “Ordine” veicolate tramite email con allegati ZIP e Z.
4. Vjw0rn – Campagna generica a veicolata tramite email con allegati ZIP contenenti JS.
5. Guloader – Rilevata una campagna a tema “Pagamenti” veicolata tramite email con allegati R19. Si presume veicoli AgentTesla.
6. Purelogs – Campagna italiana a tema “Pagamenti” veicolata tramite email con allegati ZIP.
7. Unknown – Campagna italiana di smishing (SMS) a tema “Aggiornamenti” con link al download di file APK. Il malware è di tipo infostealer ma al momento non è stato associato ad alcuna famiglia nota.

Phishing della settimana

Su un totale di 15 campagne di phishing sono 11 i brand coinvolti, molti dei quali riguardano servizi di hosting.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche