In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 51 campagne malevole, di cui 39 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 444 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato per le campagne di phishing e smishing rivolte a clienti di istituti bancari di matrice italiana e per una campagna AgentTesla indirizzata a clienti Intesa Sanpaolo.
2. Pagamenti – tema sfruttato per diffondere i malware AgentTesla, Formbook e NetsupportRat.
3. Avvisi sicurezza – Argomento utilizzato per le campagne di phishing volte a sottrarre credenziali di webmail.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 5 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Rilevate dieci campagne, di cui nove italiane ed una generica, a tema “Ordine”, “Pagamenti”, “Banking” e “Delivery” (TNT e DHL) diffuse tramite email con allegati Z, 7Z, ZIP, RAR, R00, IMG e XLAM. Per la campagna che utilizza il CVE-2017-11882 sono stati rilasciati dettagli e IoC sui canali social: Twitter e Telegram.
2. Formbook – Contrastate quattro campagne, di cui tre italiane ed una generica, a tema “Ordine”, “Preventivo“, “Pagamenti” e “Delivery” veicolate tramite email con allegati RAR, XLSM e DOCX.
3. Remcos – Individuate quattro campagne, di cui due italiane e due generiche, a tema “Delivery“, “Documenti” e “Ordine” veicolate tramite email con allegati ZIP, TGZ e RAR.
4. Vjw0rm – Contrastata, dopo 8 mesi di assenza, una campagna italiana Vjw0rm a tema “Ordine” diffusa tramite email con allegati HTML che rilascia ed esegue un JS malevolo.
5. NetsupportRat – Rilevata una campagna generica a tema “Pagamenti” diffusa tramite email con allegati ZIP.

Phishing della settimana

Sono 15 i brand coinvolti che interessano principalmente il settore bancario italiano. Questa settimana si è registrata una massiccia attività di phishing volto a sottrarre credenziali webmail ed una campagna mirata ad una specifica istituzione governativa.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche