In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 61 campagne malevole di cui 56 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1238 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 18 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

Banking è stato utilizzato per le campagne di phishing che interessano il settore bancario e per veicolare un APK (SmsControllo).

Pagamenti tema utilizzato per veicolare i malware Formbook, Lokibot e per campagne di phishing ai danni di utenti INPS e SKY.

Resend è stato sfruttato per veicolare i malware Qakbot (Qbot).

Agenzia Entrate tema d’eccezione utilizzato dal malware Ursnif.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 9 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Qakbot – campagna massiva durata quattro giorni e veicolata tramite email a tema “Resend” e link al download di file ZIP contenenti XLSB. A tal proposito il CERT-AGID ha lanciato un avviso e diramato gli IoC attraverso una apposita news.

Formbook – quattro campagne, di cui due italiane e due generiche, a tema “Contratti”, “Pagamenti” e “Delivery” veicolate tramite email con allegati ACE, CAB, ISO e DOC.

Ursnif – due campagne italiane: una tema “Agenzia Entrate” veicolata tramite email e allegati ZIP contenenti un file LNK, l’altra a tema “Covid-19” con allegati ZIP contenenti file VBE.

AgentTesla – due campagne a tema “Ordine” e “Documenti” veicolate tramite email con allegato file IMG e XZ.

Lokibot – due campagne italiane a tema “Pagamenti” veicolate tramite email con allegati BZ2 e ZIP.

IceID – campagna italiana a tema “Pagamenti” veicolata tramite email con allegato ZIP contenenti file HTA.

sLoad – campagna a tema “Documenti” (fiscali) veicolata tramite PEC con allegati ZIP contenenti file WSF. Il CERT-AGID ha diramato gli IoC attraverso una apposita news.

AsyncRat – campagna generica a tema “Ordine” veicolata tramite email con allegati file GZ.

SmsControllo – Un apk denominato “sicurezza.apk” in grado di leggere gli SMS ricevuti ed inviarli ad un server. Su quest’ultimo sono stati trovati altri APK con funzionalità di desktop remoto e con nome risalenti a noti istituti bancari. Il malware non è stato ancora rilevato da altri produttori antivirus, per tale motivo è stato battezzato dal CERT-AGID con il nome di SmsControllo.

Phishing della settimana

Su un totale di 42 campagne di phishing, sono 20 i brand coinvolti questa settimana che interessano totalmente il settore bancario ad eccezione delle campagne: Webmail generic, Office365, INPS, Aruba, Amazon, Premi, Sky e Sanità.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche