In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 20 campagne malevole di cui 14 con obiettivi italiani e 6 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 399 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 8 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano: 

• Banking per la campagne di phishing che interessano il settore bancario.
• Documenti per veicolare Hancitor e Lokibot.
• Pagamenti per veicolare Dridex, AgentTesla e sLoad.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 9 famiglie di malware per un totale di 12 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Lokibot – individuate tre campagne italiane di cui una a tema “Documenti” con allegati ISO e due a tema “Università” con allegati ZIP e XLS. A tal proposito il CERT-AGID ha diramato un avviso pubblico per condividere i dettagli e relativi indicatori di compromissione.

Hancitor – due campagne generiche a tema “Documenti” veicolate tramite email con link e con allegati a file DOC. Ancora una volta Hancitor è stato utilizzato per veicolare CobaltStrike.

sLoad – campagna italiana a tema “Pagamenti” veicolata tramite PEC e allegati ZIP. La campagna è stata prontamente contrastata dal CERT-AGID con il supporto dei Gestori PEC. A tal proposito è stato pubblicato un avviso pubblico per condividere gli indicatori di compromissione.

AgentTesla – campagna italiana a tema “Pagamenti” veicolata via email con allegati LZH.

Dridex – campagna italiana a tema “Pagamenti” e allegati XLSM.

Remcos – campagna generica a tema “Delivery” veicolata tramite email con allegati XLS.

Vidar – per la prima volta individuata in Italia una campagna a tema “Ordine” per distribuire il malware Vidar tramite allegati PPAM.

Qakbot – campagna italiana a tema “Resend” veicolata tramite email con allegati ZIP.

Oski – dopo oltre un mese di inattività sul territorio italiano, torna la campagna a tema “Ordine” veicolata tramite email con allegati XLAM.

Phishing della settimana

Su un totale di 8 campagne di phishing, sono 6 i brand coinvolti questa settimana. Nello specifico:

IntesaSanpaolo, MPS, Nexi e Poste – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”.

GLS – campagna italiana a tema “Delivery” indirizzata ai clienti del servizio GLS.

Email generic – campagna di phishing generica mirata al furto di credenziali di posta elettronica.

Formati di file principalmente utilizzati per veicolare i malware