In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 98 campagne malevole, di cui 60 con obiettivi italiani e 38 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 751 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 22 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Multe – Argomento sfruttato abbondantemente questa settimana: ben 30 campagne di phishing italiane, tutte veicolate tramite email che si presentano come presunte comunicazioni da PagoPA.
2. Banking – Tema utilizzato in sei campagne di distribuzione di malware, prevalentemente generiche, che hanno veicolato software dannosi sia per sistemi operativi Android che per Windows. I malware diffusi sono stati PromptSpy, Massiv, PhantoStealer, SpynNte, Copybara e XWorm. Usato inoltre per tre campagne italiane di phishing e smishing rivolte a clienti degli istituti bancari ING, Intesa Sanpaolo e BPM.
3. Ordine – Argomento usato per cinque campagne malware, di cui tre italiane, che hanno distribuito FormBook, AgentTesla, Remcos e VipKeylogger, nonché utilizzato per una campagna di sextortion italiana.
4. Rinnovo – Tema sfruttato per cinque campagne di phishing, di cui 2 italiane, ai danni di utenti Register, UnitedDomains, Wix e Serverplan.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Individuata una nuova campagna di smishing che abusa del nome di INPS per rubare documenti e dati personali. Anche questa volta l’attaccante, continuando un trend iniziato a fine gennaio, oltre a richiedere patente, tessera sanitaria, carta di identità, ultime tre buste paga e selfie, ha inserito pagine finalizzate all’upload di copia del CUD e di dettagli sul lavoro svolto.
• Il CERT-AGID ha pubblicato l’analisi di un phishing adattivo nella quale si evidenza l’uso combinato di diverse tecniche semplici ma efficaci, come lo spoofing del dominio del mittente della comunicazione email, l’utilizzo di un allegato HTML come vettore iniziale, la simulazione del normale flusso di autenticazione con presenza di un finto CAPTCHA, oltre all’utilizzo di un bot telegram per esfiltrare le credenziali.

Malware della settimana

Sono state individuate, nell’arco della settimana, 14 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Scoperte tre campagne italiane a tema “Fattura” e “Ordine” e due campagne generiche a tema “Ordine” e “Delivery”, veicolate attraverso email con allegati DOCX, ZIP e 7Z.
2. Remcos – Osservate una campagna italiana “Delivery” e tre campagne generiche ad argomento “Contratti”, “Documenti” e “Ordine”, che hanno sfruttato file ZIP, GZ e XLS.
3. VipKeylogger – Individuate due campagne italiane a tema “Contratti” e “Ordine” ed una campagna generica “Prezzi” diffuse mediante allegati RAR e GZ.
4. AgentTesla – Rilevate una campagna italiana “Ordine” e una campagna generica “Delivery” veicolate tramite email con allegati RAR e ZIP.
5. Scoperte una campagna italiana Copybara e tre campagne generiche SpyNote, PromptSpy e Massiv che hanno sfruttato il tema “Banking” e sono state distribuite tramite SMS contenti link ad APK malevoli.
6. Guloader – Osservate due campagne generiche a tema “Prezzi”, entrambe veicolate con archivio RAR allegato.
7. PhantomStealer – Individuate due campagne generiche ad argomento “Contratti” e “Banking” distribuite con allegati TAR e Z.
8. XWorm – Rilevate una campagna italiana “Preventivo” diffusa con allegato ZIP e una campagna generica “Banking” veicolata con file XLAM.
9. Osservate infine alcune campagne italiane e generiche che hanno distribuito i malware Lumma, ScreenConnect (software legittimo, abusato con intenti malevoli) e Vidar, che hanno sfruttato gli argomenti “Fattura” e “Aggiornamenti”.

Phishing della settimana

Sono 24 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA e Cpanel, oltre alle sempre presenti campagne di Webmail non brandizzate.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche