In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 57 campagne malevole, di cui 26 con obiettivi italiani e 31 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 767 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 17 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Ordine – Tema utilizzato in campagne generiche per veicolare numerosi malware, tra i quali Darkcloud, SnakeKeylogger, Formbook e AgentTesla.
2. Fattura – Tema ricorrente in tre campagne italiane e due generiche, tra cui un phishing rivolto agli utenti Aruba; impiegato per veicolare i malware AgentTesla, XWorm, LokiBot e SnakeKeylogger.
3. Banking – Argomento ricorrente in tre campagne italiane e in due campagne generiche di phishing e smishing. Utilizzato inoltre per veicolare i malware MassLogger, BingoMod e SpyNote.
4. Pagamenti – Tema ricorrente in quattro campagne italiane e due campagne generiche. Utilizzato per veicolare i malware FormBook e Grandoreiro via email, nonché per campagne di phishing via email ai danni di Zimbra, BRT e PagoPA.
5. Documenti – Tema sfruttato in tre campagne generiche e due campagne italiane. Utilizzato per veicolare i malware Lumma e Remcos e per campagne di phishing via email ai danni di Notariato e DocuSign.
6. Booking – Tema usato in due campagne italiane e due campagne generiche, nonché utilizzato veicolare malware tramite pagine contenenti finti Captcha.
7. Delivery – Tema ricorrente in una campagna generica e tre campagne italiane, utilizzato per veicolare Remcos via email e, per campagne di smishing ai danni di Poste italiane e BRT, nonché per diffondere AgentTesla via email.
8. Contratti – Argomento ricorrente adoperato in tre campagne generiche volte alla diffusione dei malware Snakekeylogger e Guloader, veicolati tramite email.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• È in corso una campagna di phishing che sfrutta la fiducia degli utenti in pagoPA per spingerli a rivelare le proprie generalità e dati della carta di credito tramite email che fanno riferimento a presunte fatture di 75 euro. Ulteriori dettagli e gli Indicatori di Compromissione (IoC) sono disponibili nel relativo post Telegram.
• Rilevata una campagna di phishing che sfrutta il nome del Ministero della Salute per ingannare le vittime, simile a una campagna rilevata a inizio anno ma con un nuovo dominio ingannevole (ministerosalute[.]io). Le comunicazioni false offrono un rimborso e richiedono informazioni personali, come nome, residenza e dettagli della carta di credito. Ulteriori dettagli nel post dedicato.

Malware della settimana

Sono state individuate, nell’arco della settimana, 14 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Scoperte tre campagne italiane a tema “Booking”, “Aggiornamenti” e “Delivery” e tre campagne generiche a tema “Ordine” e “Fattura” diffuse con email con allegati ZIP, RAR, Z e IMG.
2. AsyncRat – Individuate tre campagne “Booking”, una italiana e due generiche, diffuse con link a pagine contenti finti Captcha, e una campagna generica “Prezzi” diffusa tramite email con allegato RAR.
3. SnakeKeylogger – Scoperte una campagna italiana a tema “Fattura” e tre campagne generiche a tema “Contratti” e “Ordine” veicolate tramite email con allegati RAR, ARJ e LZH.
4. FormBook – Individuate tre campagne generiche “Ordine” e “Pagamenti” diffuse tramite email con allegati ZIP, RAR e 7Z.
5. Remcos – Rilevate una campagna italiana “Documenti” e due campagne generiche “Fattura” e “Delivery” diffuse con email contenenti allegati ZIP e RAR
6. DarkCloud – Individuate due campagne generiche a tema “Ordine” veicolate con email con allegati TAR e LZH.
7. Lumma – Rilevate due campagne generiche “Documenti” diffuse con email con allegati ZIP e IMG.
8. XWorm – Scoperte una campagna italiana “Fattura” e una campagna generica “Prezzi” veicolate tramite email con allegati file ZIP e 7Z.
9. BingoMod e SpyNote – Individuate una campagna italiana e una generica a tema “Banking” e che veicolano l’APK malevolo tramite link inviato tramite SMS.
10. Rilevate infine una campagna italiana MassLogger e diverse campagne generiche Grandoreiro, Guloader e Lokibot diffuse sfruttando vari temi.

Phishing della settimana

Sono 15 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema INPS, cPanel, Intesa Sanpaolo e Aruba, e anche le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche