In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 42 campagne malevole di cui 36 con obiettivi italiani e 6 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 496 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano: 

• Banking esclusivamente la campagne di phishing che interessano il settore bancario.
• Pagamenti tema sfruttato per diffondere i malware Formbook, AgentTesla e Dridex.
• Documenti utilizzato per diffondere i malware Hancitor e Qakbot.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 6 famiglie di malware per un totale di 11 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Formbook – con tre campagne italiane, di cui due generiche a tema “Pagamenti” e “Ordine” ed una italiana sempre sfruttando il tema “Pagamenti”, FormBook resta ancora il malware più discusso della settimana. Gli allegati utilizzati per veicolare il malware sono di tipo DOC e XZ.

Hancitor – rilevate tre campagne generiche a tema “Documenti”, veicolate tramite email con link al download di file DOC dotati di macro malevola. L’obiettivo di Hancitor per le campagne individuate in Italia è ancora quello di veicolare Cobalt Strike.

AgentTesla – due campagne italiane rispettivamente a tema “Ordine” e “Pagamenti” sono state veicolate via email con allegati 7Z e IMG.

Qakbot – campagna italiana a tema “Documenti” diffusa tramite email con link al download di file XLS.

Ursnif – campagna italiana a tema “Delivery” (BRT) veicolata tramite email con allegati XLS.

Dridex – campagna italiana a tema “Pagamenti” veicolata tramite email con allegati XLSB.

Phishing della settimana

Su un totale di 31 campagne di phishing, sono 14 i brand coinvolti questa settimana. Nello specifico:

Intesa Sanpaolo, MPS, Poste, BPER, Credit Agricole, Inbank, Mediolanum, ING – sono i brand della settimana presi di mira dalle campagne di phishing e smishing a tema “Banking”. Il phishing Bank generic invece riguarda una campagna generica, senza specificare brand, che invita ad aggiornare i dati della carta di credito. Diverse campagne sono state veicolate tramite SMS.

Email generic – due campagne di phishing generiche a tema “Avvisi di sicurezza” mirate al furto di credenziali di accesso a webmail.

Zimbra – campagna a tema “File Sharing”, identica a quella della scorsa settimana, volta a sottrarre le credenziali di accesso al servizio di webmail.

Enel – campagna a tema “Energia” ospitata su dominio registrato ad-hoc.

Sky – campagna a tema “Aggiornamenti” invita le vittime a rivedere l’abbonamento e chiede di inserire gli estremi della carta di credito.

DHL – campagna di smishing a tema “Delivery” veicolate in Italia con l’obiettivo di sottrarre le credenziali di accesso al servizio.

Formati di file principalmente utilizzati per veicolare i malware