In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 27 campagne malevole che hanno interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 363 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato principalmente per le campagne di phishing e smishing rivolte a clienti di istituti bancari di matrice italiana ed una campagna malware volta a veicolare SpyNote.
2. Pagamenti – tema sfruttato le campagne ScreenConnect (UltraVNC), AgentTesla e Formbook.
3. IT-Alert – Argomento utilizzato per le campagne malware SpyNote

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 6 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Rilevate due campagne italiane, rispettivamente a tema “Pagamenti” e “Preventivo”, una delle quali è stata veicolata tramite CodigoLoader, diffuse tramite email con allegati XLAM e Z.
2. ScreenConnect – Contrastate due campagne italiane a tema “Pagamenti“ diffuse tramite email con allegati PDF con link a file ZIP o RAR contenenti script VBS. In merito ai Remote RAT il CERT-AGID ha pubblicato un approfondimento e relativi IoC in una apposita news.
3. SpyNote – Contrastate due campagne italiane, di cui una a tema “Banking“ ed una “IT-Alert“, volte a compromettere dispositivi Android degli utenti italiani. Il CERT-AGID ha pubblicato un approfondimento sulla diffusione degli spyware per dispositivi mobile in una apposita news.
4. Remcos – Individuata una campagna italiana a tema “Ordine“ veicolata tramite email con allegati Z sfruttando Guloader.
5. Formbook – Rilevata una campagna italiana a tema “Pagamenti” veicolata tramite email con allegati ZIP contenenti un eseguibile che sfrutta ModiLoader per veicolare il malware finale.
6. IcedId – Individuata una campagna italiana a tema “Resend“ veicolata tramite email con allegati PDF con link a file ZIP contenente script JS.

Approfondimenti della settimana:

1. Sempre più preoccupante il fenomeno delle campagne RAT
2. In crescita la diffusione di spyware per Android: il caso di SpyNote
3. Entra in azione un nuovo infostealer: 0bj3ctivity

Phishing della settimana

Sono 7 i brand coinvolti che interessano principalmente il settore bancario italiano. Di rilievo questa settimana la campagna di phishing NEXI che usa nel nome dominio il termine INPS.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche