In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole di cui 30 con obiettivi italiani e 4 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 361 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 10 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

1. Banking utilizzato esclusivamente per le campagne di phishing che interessano il settore bancario.
2. Pagamenti tema utilizzato per veicolare i malware AgentTesla, Lockibot, Formbook e Dridex.
3. Aggiornamenti per le campagna di phishing generico mirate alle Webmail ed una per Università.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 7 famiglie di malware per un totale di 9 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

AgentTesla – due campagne italiane a tema “Pagamenti” diffuse tramite email con allegati ISO e GZ.

Dridex – due campagne generiche a tema “Pagamenti” veicolate tramite email con allegati XLB.

Flubot – dopo circa sei mesi torna attiva la campagna flubot veicolata tramite SMS per diffondere un APK malevolo.

Formbook – campagna generica a tema “Pagamenti” e allegati ARJ veicolati via email.

Snake – campagna generica a tema “Evento” veicolata tramite email con allegati GZ.

Lokibot – campagna generica a tema “Pagamenti” diffusa tramite email con allegati ZIP.

Qakbot – campagna italiana a tema “Resend” e allegati ZIP veicolati via email.

Phishing della settimana

Su un totale di 25 campagne di phishing, sono 13 i brand coinvolti questa settimana. Nello specifico:

Poste, Intesa Sanpaolo, BPER, IPS, Fideuram, BNL – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”.

Webmail generic – tre campagne di phishing mirate al furto di credenziali di accesso a webmail generiche.

Sky – campagna a tema “Abbonamento” mirata a sottrarre le credenziali dei clienti.

Amazon – campagna a tema “Premi” veicolata tramite SMS e mirata a sottrarre gli estremi della carta di credito.

Università – campagna a tema “Aggiornamenti” mirata al furto di credenziali verso una Università italiana.

Roundcube – campagna a tema “Aggiornamenti” il cui scopo è quello di sottrarre le credenziali di accesso alla webmail.

Premi – campagna a tema “Delivery” informa di una fantomatica consegna per la vincita di un iPhone, lo scopo è quello di sottrarre gli estremi della carta di credito.

Microsoft – campagna a tema “Documenti” espone logo DocuSign e risulta inviata verso una specifica PA da account email compromesse. Lo scopo è quello di sottrarre le credenziali di accesso ai servizi Microsoft in usa nella PA.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche