In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 63 campagne malevole, di cui 46 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 487 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 18 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Multe – Argomento impiegato in 12 campagne di phishing italiane, tutte veicolate tramite email e simulanti finte notifiche da parte di PagoPA. Le comunicazioni, presentandosi come avvisi di multe stradali non ancora saldate, mirano a indurre gli utenti a fornire dati personali e bancari.
2. Banking – Tema sfruttato in sette campagne italiane di phishing rivolte a clienti BPM, BNL, Hype e SumUp. Il tema è stato inoltre utilizzato per diffondere quattro campagne di cui tre italiane volte a veicolare i malware DonutLoader, Remcos, Copybara e deVixor.
3. Aggiornamenti – Argomento sfruttato in sei campagne, di cui cinque generiche e una italiana. Le campagne generiche hanno diffuso principalmente il malware Asyncrat. La campagna italiana ha invece veicolato phishing ai danni di utenti Subito.it.
4. Pagamenti – Tema sfruttato in tre campagne di phishing, di cui una generica, ai danni di Aruba e PayPal. Rilevata, inoltre, una campagne malware volta alla diffusione di AgentTesla.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Il CERT-AGID ha individuato ulteriori domini malevoli impiegati nel phishing a tema Sistema Tessera Sanitaria, già rilevato e contrastato nel corso della precedente settimana. In una delle nuove campagne, oltre a chiedere dati personali della vittima, è stata osservata una seconda fase della truffa in cui viene richiesto l’inserimento di dati della carta di pagamento.
• Continuano numerose le campagne ai danni di PagoPA, diffuse tramite email con riferimenti a falsi avvisi di sanzioni stradali che inducono le vittime a fornire dati personali e bancari. Per ulteriori dettagli, è possibile consultare le notizie dedicate.

Malware della settimana

Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevate una campagna italiana a tema “Ordine” e tre campagne generiche a tema “Documenti”, “Pagamenti” e “Delivery” diffuse con email contenenti allegati RAR, XZ e TAR.
2. AsyncRat – Individuate quattro campagne generiche: tutte hanno sfruttato il tema “Aggiornamenti” e sono state veicolate tramite allegato ZIP.
3. XWorm – Osservate tre campagne generiche a tema “Ordine”, “Prezzi” e “Fattura” distribuite mediante allegati RAR e XLSM.
4. Remcos – Scoperte una campagna italiana ad argomento “Banking” veicolata attraverso allegato 7Z e una campagna generica “Delivery” veicolata con allegato RAR.
5. Copybara e deVixor – Scoperte una campagna italiana e una generica a tema “Banking” che sono state veicolate tramite SMS contenti link che consentono il download di APK malevoli.
6. DonutLoader – Rilevata una campagna italiana a tema “Banking” diffusa mediante email con allegato 7Z.
7. AMOS – Individuata una campagna italiana ad argomento “Documenti” diffusa tramite link a script PS1 malevolo.
8. Scoperte infine tre campagne generiche FormBook, Guloader e ScreenConnect che hanno sfruttato i temi “Ordine”, “Prezzi” e “Aggiornamenti” e sono state distribuite mediante file di varia tipologia quali RAR, DOCX e MSI.

Phishing della settimana

Sono 21 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA, Aruba, SumUp e BPM.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche