In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 36 campagne malevole, di cui 23 con obiettivi italiani e 13 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 393 indicatori di compromissione (IOC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 14 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema ricorrente nelle campagne di smishing rivolte principalmente a clienti di istituti bancari italiani e non, come Poste italiane, Intesa Sanpaolo e Unicredit. Usato inoltre per veicolare il malware Remcos inviati alle vittime come file BAT tramite email.
2. Delivery – Tema sfruttato per campagne italiane di phishing ai danni di FedEx, nonché utilizzato per diffondere i malware Lokibot e Snake Keylogger.
3. Preventivo – Argomento utilizzato per veicolare numerosi malware, fra cui Lokibot, Formbook e PXRECVOWEIWOEI, l’infostealer “Obj3ctivity” già censito dal CERT-AGID.
4. Pagamenti – Tema utilizzato per alcune campagne di phishing ai danni di vari utenti. Inoltre, il tema è servito per veicolare i malware Guloader e Formbook.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Due campagne di phishing ai danni del Ministero degli Affari Esteri e della Cooperazione Internazionale: la campagna “Visto per l’Italia”, sfruttata per raccogliere dati personali di utenti che desiderano richiedere il visto e la seconda progettata per rubare le credenziali di accesso dei dipendenti, portati a credere di star scaricando la VPN dell’Ente di appartenenza.
• Si segnala inoltre un grave incidente globale causato da un aggiornamento difettoso rilasciato dall’azienda di cybersicurezza CrowdStrike che ha provocato l’inutilizzabilità di numerosi PC e server Windows a livello mondiale, in particolare per compagnie aeree, aeroporti, banche, borse finanziarie ed emittenti televisive.

Malware della settimana

Sono state individuate, nell’arco della settimana, 9 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Snake Keylogger – Scoperte una campagna italiana “Delivery” e una campagna generica a tema “Conferma”, diffuse tramite email con allegati ARJ.
2. Lokibot – Individuate una campagna italiana a tema “Preventivo” e una campagna generica “Delivery”, diffuse tramite email con allegati PDF e RAR.
3. FormBook – Rilevate una campagna italiana e una campagna generica a tema “Pagamenti” e veicolate tramite email con allegati RAR e DOC.
4. Remcos – Individuata una campagna italiana a tema “Banking”, diffusa tramite email con allegato BAT.
5. PXRECVOWEIWOEI – Rilevata una campagna generica a tema “Preventivo”, diffusa tramite email con allegato JS.
6. Guloader – Scoperta una campagna italiana a tema “Pagamenti” diffusa tramite email.
7. Redline – Individuata una campagna generica a tema “Contratti”, veicolata tramite email con allegato RAR.
8. AgentTesla – Rilevata una campagna italiana a tema “Contratti”, diffusa mediante email con allegato IMG.
9. Irata – Scoperta infine una campagne italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.

Phishing della settimana

Sono 14 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, Poste Italiane, Unicredit e Intesa Sanpaolo, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche