Sintesi riepilogativa delle campagne malevole nella settimana del 14 – 20 settembre
riepilogo
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 56 campagne malevole, di cui 41 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 778 indicatori di compromissione (IoC) individuati.
Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.
Andamento della settimana
I temi più rilevanti della settimana
Sono 21 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:
- Banking – Tema ricorrente nelle campagne di phishing e smishing rivolte principalmente a clienti di istituti bancari italiani e non, come Intesa Sanpaolo, Monte dei Paschi di Siena, Banca Popolare di Sondrio e Poste Italiane. Usato inoltre per veicolare il malware Irata inviati alle vittime come file APK ai danni dei clienti di N26.
- Ordine – Argomento sfruttato per veicolare diversi malware, quali FormBook, AgentTesla, Remcos e PXRECVOWEIWOEI, veicolati tramite email.
- Documenti – Tema utilizzato per una campagna generica di phishing ai danni di Docusign, nonché utilizzato per diffondere i malware AgentTesla e AsyncRAT.
- Pagamenti – Tema utilizzato per alcune campagne di phishing ai danni di vari utenti. Inoltre, il tema è servito per veicolare i malware Vidar tramite PEC e Adwind tramite email.
Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.
Eventi di particolare interesse:
- Individuata una nuova campagna malevola che diffonde il malware Vidar tramite PEC compromesse. In maniera analoga alle campagne Vidar delle ultime settimane, quest’ultima è stata veicolata tramite email fraudolente che richiedono il pagamento di una falsa fattura insoluta, inducendo il download del malware tramite un link, facendo anche uso di un vecchio dominio del portale Excite.
- Rilevata una campagna di phishing bancario a tema SPID, atta a raccogliere le credenziali di accesso degli utenti di diversi istituti bancari italiani. La pagina web fraudolenta invita l’utente ad inserire le credenziali del proprio account bancario, al presunto fine di rinnovare la propria identità digitale.
- Nuova campagna malevola mirata a veicolare il malware Lumma Stealer e rivolta agli utenti del noto servizio di hosting per progetti software Github. La comunicazione avverte i destinatari di una presunta vulnerabilità di sicurezza nei loro repository e invita ad aprire un link sospetto, dove viene mostrato un avviso ingannevole che sollecita gli utenti a compiere delle operazioni che consentono di eseguire il codice malevolo.
Malware della settimana
Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:
- AgentTesla – Scoperte cinque campagne italiane a tema “Documenti” e “Ordine”, veicolate tramite email con allegati BAT, EXE, ISO e RAR, e due campagne generiche a tema “Documenti”, veicolate tramite email con allegati EXE e ZIP.
- FormBook – Rilevate due campagne italiane e una campagna generica a tema “Ordine” e diffuse tramite email con allegati EXE e ZIP.
- Lumma Stealer – Individuate due campagne italiane e una campagna generiche che hanno sfruttato i temi “Avvisi sicurezza” ed “Energia”, veicolate tramite link malevoli e email con allegati EXE e PDF.
- Vidar – Individuata una campagna italiana a tema “Pagamenti”, veicolata tramite PEC con allegato JS.
- AsyncRAT – Scoperta una campagna italiana a tema “Energia” e una campagna generica a tema “Documenti” diffuse tramite email con allegati JAR e EXE.
- Irata – Rilevata una campagne italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
- Umbral – Individuata una campagna generica, veicolata tramite email con allegato EXE.
- Remcos – Rilevata una campagna italiana a tema “Banking”, diffusa tramite email con allegato HTML.
- VIPKeylogger – Scoperta una campagna generica “Pagamenti”, diffuse tramite email con allegati SCR.
- PXRECVOWEIWOEI – Rilevata una campagna generica a tema “Ordine”, diffusa tramite email contenti link a file VBS.
- Adwind – Rilevata infine una campagna italiana a tema “Pagamenti”, diffusa mediante email con allegati HTML e PDF contenenti link a file malevoli JAR.
Phishing della settimana
Sono 22 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Intesa Sanpaolo e INPS.