In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 21 campagne malevole di cui 16 con obiettivi italiani e 5 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 616 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano: 

• Banking per la campagne di phishing che interessano il settore bancario.
• Ordine per veicolare le campagne malware AgentTesla e FormBook.
• Documenti per diffondere i malware Hancitor e jRAT.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 6 famiglie di malware per un totale di 11 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Formbook – tre campagne a tema “Ordine” e “Preventivo” di cui due italiane ed una generica. FormBook è stato distribuito tramite email con allegati ZIP, RAR e XLS.

AgnetTesla – due campagne italiane a tema “Ordine” e allegati GZ e LZH.

Hancitor – due campagne generiche di cui una contenente link al download di un file DOC ed una con allegato DOC. Hancitor è stato utilizzato per veicolare CobaltStrike.

Trickbot – dopo quasi due settimane di pausa torna in Italia la campagna Trickbot veicolata tramite allegati ZIP. Nello specifico sono state identificate due campagne di cui una italiana a tema “Preventivo” ed una generica a tema “Informazioni”.

jRAT – l’ultima campagna jRAT italiana risale al mese di novembre 2020, a distanza di nove mesi è stata rilevata una nuova campagna jRAT a tema “Documenti” e link a download di un file EXE da discord.

Dridex – campagna generica a tema “Contratti” veicolata tramite email con allegati XLSM.

Phishing della settimana

Sono 8 i brand coinvolti nelle campagne di phishing. Anche questa settimana è stata rilevata una campagna italiana che sfrutta loghi e comunicazioni dell’Agenzia delle Entrate.

Poste, Intesa Sanpaolo, Paypal – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”. Il Phishing Poste in due casi è stato veicolato tramite SMS.

Agenzia delle Entrate – campagna italiana identica a quella della scorsa settimana. Attraverso una falsa email che sfrutta i loghi dell’Agenzia si viene rimandati ad pagina creata ad-hoc per ricevere un fantomatico rimborso di 175 euro previa inserimento degli estremi della propria carta.

Subito – campagna di phishing attraverso la quale vengono chieste informazioni personali e carta di credito degli utenti. Questa pagina è utilizzata insieme ad annunci truffa su subito.it ed inviata alle vittime tramite SMS a seguito di social engineering.

Microsoft, Outlook, Email generic – campagne italiane a tema “Aggiornamenti” che invitano gli utenti ad inserire le proprie credenziali di posta su pagine di phishing create ad arte.

Formati di file principalmente utilizzati per veicolare i malware