In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 65 campagne malevole, di cui 29 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 841 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 22 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Ordine – Tema utilizzato per campagne sia italiane che generiche, volte a veicolare numerosi malware, fra cui Remcos, FormBook, MassLogger, Snake Keylogger e AgentTesla.
2. Banking – Argomento sfruttato in campagne di phishing italiane via PEC e PEO rivolte a clienti degli istituti bancari Intesa Sanpaolo e Banca Sella. Usato inoltre per campagne, sia italiane che generiche, volte a veicolare i malware Copybara, VIPKeyLogger e Irata.
3. Delivery – Tema sfruttato per due campagne italiane di phishing ai danni di GLS e DHL, nonché utilizzato per diffondere i malware Remcos, XWorm, MassLogger e Snake Keylogger.
4. Documenti – Argomento utilizzato per una campana di phishing italiana ai danni di Assicurazioni Generali e una generica ai danni di utenti WeTransfer. Inoltre, il tema è servito per veicolare i malware Rhadamanthys, AsyncRat e Remcos.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Una recente campagna di phishing, condotta attraverso l’utilizzo di due diversi domini fraudolenti e mirata all’Università degli Studi di Padova, ha comportato il furto di numerose credenziali di studenti e dipendenti dell’Ateneo.
• Si sta assistendo a un incremento di campagne malware che utilizzano falso CAPTCHA. Questo approccio, che sfrutta la fiducia che gli utenti ripongono nelle sfide CAPTCHA, comunemente viste come misure di sicurezza autentiche per confermare l’identità umana, si sta rivelando molto efficace per gli attaccanti.

Malware della settimana

Sono state individuate, nell’arco della settimana, 15 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Rilevate una campagna italiana a tema “Preventivo” veicolata tramite email con allegato ISO e diverse campagne generiche a tema “Fattura”, “Pagamenti” e “Ordine” veicolate tramite email con allegati RAR, ZIP, DOCX e XLSX.
2. Remcos – Individuate due campagne italiane a tema “Ordine” diffuse con email contenenti allegati ZIP e IMG e tre campagne generiche a tema “Documenti”, “Delivery” e “Prezzi” diffuse con email contenenti allegati ZIP e RAR.
3. Snake Keylogger – Rilevate quattro campagne generiche a tema “Contratti”, “Ordine”, “Delivery” e “Pagamenti” diffuse mediante email con allegati ZIP, RAR e ACE.
4. XWorm – Rilevate tre campagne generiche a tema “Prezzi”, “Fattura” e “Delivery” diffuse con email con allegati ZIP, TAR e IMG.
5. FakeCaptcha – Scoperte cinque campagne AsyncRat, XWorm, Lumma e NetsupportRat a tema “Booking” diffuse tramite email con link a pagine contenenti finti CAPTCHA.
6. Copybara e Irata – Rilevate tre campagne italiane, due Copybara e una Irata, a tema “Banking” veicolate tramite SMS con link ad APK malevolo.
7. Rhadamanthys – Individuate tre campagne italiane a tema “Legale” e “Documenti” veicolate tramite email con allegati o link a file ZIP.
8. AgentTesla – Scoperte due campagne italiane “Ordine” e “Preventivo” diffuse con email con allegati GZ e ISO.
9. MassLogger – Rilevate una campagna italiana “Ordine” e una campagna generica “Delivery” diffuse tramite email con allegati Z e ACE.
10. Rilevate infine diverse campagne italiane GoStealer e AsyncRat e alcune campagne generiche Grandoreiro e VipKeylogger.

Phishing della settimana

Sono 15 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema CPanel, INPS e Intesa Sanpaolo, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche