In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 27 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 498 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 7 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. Spicca in modo particolare il tema Banking utilizzato principalmente per le campagne di phishing e Pagamenti per i malware.

Malware della settimana

Sono state osservate nello scenario italiano 7 famiglie di malware per un totale di 8 campagne complessive. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Flubot – È il malware della settimana, diffuso in Italia via SMS a partire da lunedi 12 tramite campagne a tema “Delivery” e brand DHL. Flubot è un malware per dispositivi Android già noto in Spagna, Germania e Ungheria. Il CERT-AGID ha diramato un comunicato riportante l’analisi del campione e numerosi IoC al fine di rendere pubblici i dettagli della campagna in corso.

Snake – campagna internazionale (l’unica della settimana) a tema “Ordine” veicolata in data odierna per diffondere lo storico trojan-keylogger di cui non si sentiva parlare da lungo tempo.

Formbook – a differenza della scorsa settimana che utilizzava per la prima volta allegati HTML e JS, formbook è tornato a veicolare tramite campagne a tema “Pagamenti” e allegati ACE.

Trickbot – l’ultima campagna trickbot risale al 25 febbraio, dopo un lungo periodo di pausa Trickbot torna in Italia con una campagna a tema “Pagamenti” e link al download di un file ZIP contenente XLSB malevolo.

Qakbot – dopo 1 mese esatto dall’ultima rilevazione, qakbot punta sull’Italia con la solita campagna a tema “Documenti” e allegati ZIP contenenti XLSM.

AgentTesla e ASTesla – due campagne a tema “Pagamenti” e “Conferma”, il primo allega file ACE mentre il secondo propone in allegato un file IMG.

Phishing della settimana

Sono 9 i brand coinvolti nelle campagne di phishing. Ancora una volta le campagne più in voga interessano il settore “Banking”, in particolare Intesa Sanpaolo e Poste. Di seguito, una lista sintetica dei soggetti coinvolti:

IntesaSanpaolo – sono state rilevate questa settimana 6 campagne di phishing veicolate via email con link che puntano a domini creati ad-hoc.

Poste – segue Intesa Sanpaolo con ben 4 campagne a tema “Banking”, di cui una veicolata via SMS, ed 1 campagna a tema “Spid”.

BPER, Unicredit, Nexi, MPS, ING e BPB – completano il panorama settimanale delle campagne di phishing a tema “Banking”.

LiberoMail – campagna di phishing a tema “Account sospeso” che invita le vittime ad inserire in una form le credenziali del proprio account per ottenere la finta riattivazione del servizio.

Formati di file principalmente utilizzati per veicolare i malware