In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole attive, di cui 5 generiche veicolate anche in Italia e 20 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 489 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Tra i temi sfruttati per veicolare le campagne malevole sul territorio italiano emergono in particolar modo Banking seguito da Pagamenti.

Malware della settimana

Sono state osservate nello scenario italiano 4 famiglie di malware. Nello specifico, di particolare rilievo questa settimana troviamo le seguenti campagne:

FormBook – rilevato in tre campagne malevole di cui due a tema Pagamenti scritte in lingua italiana con allegati .rar e .xlsx, ed una internazionale a tema Delivery pervenuta in Italia tramite allegati .zip.

Dridex – sono state osservate tre campagne internazionali a tema Pagamenti individuate in Italia con allegati .doc e .xlsm.

Avemaria – campagna generica a tema Pagamenti veicolata in Italia anche verso le PA tramite allegato .iso all’interno del quale è presente un file .exe (il malware) e un innocuo file .pdf.

AgentTesla – ha aperto la settimana con una campagna mirata per l’Italia a tema Delivery. La variante rilevata, veicolata con allegati .zip e .rar, potrebbe essere assimilabile ad ASTesla viste le comunicazioni via bot Telegram.

Phishing della settimana

Sono state osservate complessivamente 9 campagne di phishing. Per questa settimana i brand più utilizzati per il settore bancario risultano essere IntesaSanplaolo e Unicredit, seguite da Poste. Di seguito, una lista sintetica dei soggetti coinvolti:

IntesaSanpaolo, Unicredit e Poste – costituiscono in generale le campagne di phishing più attive della settimana.

BNL, MPS e Paypal  – completano il panorama delle campagne a tema Banking.

Storage, Premi e Amazon – sono le campagne sporadiche veicolate in Italia con lo scopo di sottrarre le credenziali di accesso agli utenti dei rispettivi servizi sfruttando servizi di url shortener per dirottare le vittime verso le pagine fake.

Formati di file principalmente utilizzati per veicolare i malware