In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 486 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 7 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. Spicca ancora una volta il tema Banking utilizzato principalmente per le campagne di phishing e smishing, mentre il tema “Pagamenti” è stato osservato in più occasioni nelle campagne Formbook.

Malware della settimana

Sono state osservate nello scenario italiano 4 famiglie di malware per un totale di 10 campagne complessive. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Formbook – è stato il malware più diffuso della settimana, il CERT-AGID ha individuato 6 campagne con temi differenti: “Ordine”, “Documenti” e “Pagamenti”. Formbook è stato diffuso in Italia via email con allegati 7Z, DOC e ISO. Per le campagne Formbook il CERT-AGID ha diramato 310 IoC verso le organizzazioni accreditate.

Flubot – la campagna flubot via SMS è proseguita fino ai primi giorni della settimana con due campagne a tema “Delivery” che emulano comunicazioni DHL e link accessibile solo da mobile (android). Il file restituito è il classico APK malevolo al quale il CERT-AGID ha già dedicato ampio spazio.

Lokibot – campagna italiana a tema “Pagamenti” e allegato ZIP contenente un file ISO.

Adwin – una prima campagna è stata osservata veicolare allegati JS tramite email con lo scopo di scaricare un file ZIP (con JAR incluso). Nella campagna odierna invece il file ZIP è stato riportato direttamente negli allegati, la particolarità riguarda il fatto che uno dei C2 individuati punta ad un dominio italiano.

Phishing della settimana

Sono 9 i brand coinvolti nelle campagne di phishing. Ancora una volta le campagne più attuali interessano il settore “Banking” e anche questa settimana le campagne di phishing ING sono in cima alla classifica. Di seguito, una lista sintetica dei soggetti coinvolti:

ING – con 8 campagne mirate è stato il brand più sfruttato dai phisher per il tema “Banking”. Le campagna ING interessano sia il classico phishing sia lo smishing.

Intesa Sanpaolo e Poste – sono state le campagne più attive dopo ING. Anche in questo caso, soprattutto le campagne Poste, si ha evidenza di attività di smishing.

Findomestic, BNL, BPM, Unicredit  – completano il panorama settimanale delle campagna di phishing attive a tema “Banking”.

Sky – campagna di phishing mirata ai rivenditori Sky sfruttando un dominio ad-hoc.

Email generic – individuati due eventi di phishing mirati verso le PA per i quali il CERT-AGID ha rilevato 75 domini registrati appositamente per mettere in atto questa campagna.

Formati di file principalmente utilizzati per veicolare i malware