In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 36 campagne malevole, di cui 22 con obiettivi italiani e 14 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 659 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 13 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Documenti – Tema sfruttato per due campagne generiche di phishing ai danni di Microsoft e DocuSign, nonché utilizzato per diffondere, tramite campagne italiane, i malware Rhadamanthys e Amadey.
2. Banking – Tema ricorrente nelle campagne italiane di phishing via PEC e via PEO rivolte principalmente a clienti di istituti bancari italiani e non, come Intesa Sanpaolo, American Express, Wells Fargo e SumUp. Tema utilizzato inoltre per veicolare il malware Spynote inviato alle vittime tramite sms in formato apk.
3. Delivery – Argomento utilizzato per veicolare numerose campagne generiche di phishing ai danni di Poste Italiane e DHL. Tema altresì utilizzzato per veicolare il malware Formbook inviato tramite PEO.
4. Assistenza – Tema utilizzato per alcune campagne di phishing italiane ai danni di Aruba diffuse tramite PEC.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Una nuova campagna malspam finalizzata alla diffusione del malware Vidar ha investito l’Italia nella giornata di martedì. Nel corso del monitoraggio sono stati identificati e bloccati 133 domini di secondo livello utilizzati per distribuire il malware. Questa volta la campagna è stata veicolata nelle prime ore di un martedì mattina, anziché nella consueta finestra tra domenica e lunedì. Le possibili ragioni sono state affrontate in una news. Il CERT-AGID, in collaborazione con i Gestori PEC, ha intrapreso le dovute azioni di contrasto finalizzate alla dismissione delle caselle PEC malevoli e ha condiviso i relativi Indicatori di Compromissione (IoC) con le Pubbliche Amministrazioni accreditate.
• Il CERT-AGID ha individuato una campagna di smishing che sfrutta il marchio di Poste Italiane per sottrarre dati personali e finanziari. Tramite falsi SMS, gli utenti vengono avvisati di un problema con la consegna di un pacco e reindirizzati a un sito fraudolento dove sono richieste informazioni personali e dati della carta di credito. Maggiori dettagli sulla campagna sono presenti nella news dedicata.

Malware della settimana

Sono state individuate, nell’arco della settimana, 7 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Rhadamanthys – Scoperte diverse campagne italiane a tema “Documenti” ed una campagna generica a tema “Preventivo”, diffuse tramite email con allegati ZIP, BAT, LNK e PDF.
2. FormBook – Rilevate diverse campagne generiche a tema “Delivery” e veicolate tramite email con allegati RAR e XLA.
3. SpyNote – Individuate due campagne, una italiana a tema “Banking” ed una generica a tema “Aggiornamenti” che veicolano l’APK malevolo tramite SMS.
4. Remcos – Scoperta una campagna generica a tema “Ordine” diffusa tramite email con allegato 7Z.
5. Lokibot – Individuata una campagna italiana a tema “Prezzi”, veicolata tramite email con allegato RAR.
6. Amadey – Rilevata una campagna italiana a tema “Documenti”, diffusa mediante email con allegato ZIP.
7. QnodeService – Individuata una campagna Vidar italiana a tema “Pagamenti”, veicolata tramite PEC con allegato JS.

Phishing della settimana

Sono 12 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, Intesa Sanpaolo e Poste Italiane, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche