In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 54 campagne malevole, di cui 50 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 337 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 13 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato principalmente per le campagne di phishing e soprattutto smishing rivolte ai clienti di istituti bancari di matrice italiana e per una campagna volta a veicolare il malware Remcos.
2. Pagamenti – tema sfruttato per diffondere i malware Formbook, Ursnif, Remcos , Rhadamanthys e per una campagna di phishing rivolta alle PEC.
3. Ordine – Argomento utilizzato per le campagna malware AgentTesla e Guloader.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 8 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Rilevate tre campagne italiane a tema “Ordine” e “Contratti”, diffuse tramite email con allegati Z all’interno dei quali è contenuto un eseguibile.
2. Formbook – Contrastate tre campagne, di cui due italiane a tema “Pagamenti” ed una generica a tema “Contratti”, veicolate tramite email con allegati RAR, GZ e XZ.
3. Remcos – Individuate tre campagne, di cui due italiane ed una generica, rispettivamente a tema “Banking“, “Documenti” e “Pagamenti“, veicolate tramite email con allegati ZIP e UUE.
4. Ursnif – Rilevata una campagna italiana a tema “Pagamenti” diffusa tramite email con allegati PDF contenenti un link al download di un JS malevolo.
5. Rhadamanthys – Individuata una campagna italiana a tema “Pagamenti” diffusa tramite email con link al download di un archivio ZIP contenente eseguibili malevoli e file decoy.
6. IcedId – Individuata una campagna italiana a tema “Pagamenti” diffusa tramite email con allegati PDF in cui è presente un link a file ZIP.
7. Guloader – Contrastata una campagna italiana a tema “Ordine” veicolata tramite email con allegati IMG.
8. Lokibot – Rilevata una campagna italiana a tema “Preventivo” veicolata tramite email con allegati ZIP.

Phishing della settimana

Su un totale di 40 campagne di phishing (e smishing) sono 16 i brand coinvolti che interessano principalmente il settore bancario. Di particolare interesse questa settimana una campagna “adattiva” volta a sottrarre credenziali di accesso alla webmail PEC.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche