Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 17 luglio
riepilogo

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 130 campagne malevole, di cui 97 con obiettivi italiani e 33 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1040 indicatori di compromissione (IoC) individuati.
Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.
Andamento della settimana

I temi più rilevanti della settimana

Sono 23 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:
- Verifica – Argomento utilizzato in 34 campagne di phishing italiane quasi tutte ai danni di INPS, ma sono state registrate anche campagne che hanno abusato dei brand Apple e InteractiveBrokers.
- Multe – Tema impiegato in 15 campagne di phishing italiane, tutte veicolate tramite email o SMS che si fingono comunicazioni di sanzioni non saldate e sfruttano grafiche e loghi di PagoPA e SEND.
- Banking – Argomento sfruttato in 13 campagne di phishing rivolte principalmente a clienti di istituti e servizi bancari, come PayPal, Intesa Sanpaolo, BPM e ING. Usato inoltre per veicolare i malware Remcos, Anatsa, SnakeKeylogger e XWorm.
- Rinnovo – Tema utilizzato in 12 campagne di pishing principalmente ai danni di servizi di registrazione di nomi di dominio e web hosting, come Aruba, Ergonet, EuroDNS, Netsons e Wix, oltre che del Ministero della Salute e OpenAI.
Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.
Eventi di particolare interesse:
- Il CERT-AGID ha individuato un sito web fraudolento che imita il portale dell’Agenzia delle Entrate. La pagina clone presenta il logo dell’Agenzia e una falsa schermata di accesso all’area riservata con lo scopo di sottrarre le credenziali di accesso alla casella email delle vittime.
- Rilevata una campagna di phishing telefonico, anche noto come vishing, che sfrutta illecitamente nome e logo di SPID per indurre le vittime a contattare telefonicamente i truffatori. Il vettore d’attacco iniziale è un’email che informa l’utente di una presunta apertura di un conto online presso Banca Widiba tramite la propria identità digitale SPID e invita a contattare un numero di telefono controllato dagli attaccanti. I dettagli nel post telegram.
- Individuata una campagna di phishing che sfrutta il nome di INPS per sottrarre dati personali e finanziari delle vittime. La pagina malevola, che imita la veste grafica dei portali di servizi pubblici, richiede una presunta verifica della regolarità dei contributi. Il sito chiede di fornire, oltre ai dettagli della carta di pagamento, dati anagrafici e recapito telefonico.
- Il CERT-AGID ha rilevato e contrastato una campagna di phishing che sfrutta il nome e il logo del Ministero della Salute. Il sito fraudolento imita il portale dei servizi online del Ministero e richiede una presunta “verifica dell’identità” come condizione necessaria per ottenere un rimborso legato ai LEA (Livelli Essenziali di Assistenza), ovvero le prestazioni e i servizi che il Servizio Sanitario Nazionale è tenuto a garantire a tutti i cittadini. I dati a cui mirano gli attaccanti sono i dettagli della carta di credito e informazioni anagrafiche.
Malware della settimana

Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:
- AgentTesla – Scoperte quattro campagne italiane a tema “Documenti”, “Ordine” e “Preventivo” e cinque campagne generiche a tema “Delivery”, “Prezzi” e “Booking” distribuite con allegati ZIP, RAR, 7Z, IMG e XLS.
- FormBook – Osservate quattro campagne italiane ad argomento “Ordine” e “Fattura” e due campagne generiche “Delivery” e “Ordine” veicolate con file ZIP, RAR e JS.
- Remcos – Individuate due campagne italiane “Banking” e quattro campagne generiche a tema “Contratti”, “Pagamenti” e “Delivery” diffuse con allegati GZ, RAR, ZIP, IMG e ISO.
- PhantomStealer – Individuate una campagna italiana “Documenti” e quattro campagne generiche a tema “Contratti”, “Delivery”, “Fattura” e “Documenti” diffuse mediante archivi RAR, 7Z e Z.
- Guloader – Scoperte tre campagne italiane ad argomento “Pagamenti” e “Ordine” e una campagna generica a tema “Prezzi” diffuse attraverso file PDF, RAR e ZIP.
- SnakeKeylogger – Rilevate tre campagne generiche a tema “Pagamenti”, “Banking” e “Documenti” veicolate con allegati RAR e ZIP.
- XWorm – Osservate una campagna italiana “Preventivo” e due campagne generiche ad argomento “Banking” e “Fattura” distribuite attraverso file RAR e XLS.
- Anatsa – Individuata una campagna generica a tema “Banking” veicolata tramite SMS contenenti link al download di APK malevolo.
- Rilevate infine una campagna GootLoader e due campagne generiche AsyncRat e LockFile che hanno sfruttato i temi “Ordine” e “Aggiornamenti”.
Phishing della settimana

Sono 31 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema INPS, PagoPA e SEND.
Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche
