In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 71 malevole, di cui 44 con obiettivi italiani e 27 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 634 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 21 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema sfruttato in 11 campagne, di cui otto italiane e tre generiche. Alcune hanno veicolato phishing ai danni di banche e istituti finanziari come Crédit Agricole, ING, Intesa Sanpaolo, Inbank e Unicredit, mentre altre sono state finalizzate alla diffusione di SnakeKeylogger, FormBook, BTMob e malware mobile quali Copybara e Sturnus.
2. Fattura – Argomento utilizzato in sette campagne, sia italiane che generiche, prevalentemente finalizzate alla distribuzione di malware come Formbook, PhantomStealer, XWorm e Remcos. Si segnalano inoltre due campagne di phishing ai danni di Aruba e una campagna malware MintLoader veicolata tramite PEC compromesse.
3. Multe – Argomento sfruttato in sette campagne di phishing italiane, tutte veicolate tramite email e riconducibili a finite comunicazioni da parte di PagoPA. Le email, presentandosi come notifiche di sanzioni stradali non ancora pagate, mirano a indurre gli utenti a cliccare su link malevoli e fornire dati personali e bancari.
4. Pagamenti – Tema impiegato in cinque campagne di phishing e smishing italiane ai danni di Autostrade per l’Italia, Netflix e Aruba. È stato sfruttato inoltre per una campagna malware generica volta a veicolare Remcos.
5. Documenti – Argomento usato in cinque campagne, sia italiane che generiche, finalizzate alla distribuzione dei malware AgentTesla, Grandoreiro, Remcos e SnakeKeylogger e in una campagna phishing ai danni di Docusign.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• È stata rilevata una campagna di phishing mirato ai danni degli studenti dell’Università di Padova. La pagina realizzata dagli attori malevoli replica il portale di accesso all’area privata dell’ateneo con l’obiettivo di acquisire credenziali di account istituzionali.
• È stata scoperta dal CERT-AGID una campagna di phishing, veicolata tramite email, che sfrutta nome e logo della Polizia di Stato italiana per impossessarsi delle credenziali email delle vittime.
• Il CERT-AGID ha individuato una campagna di phishing che sfrutta Weebly per realizzare finte pagine di login Zimbra mirate al personale di Regione Toscana al fine di carpirene le credenziali di accesso.
• È stata rilevata e contrastata dal CERT-AGID, con il supporto dei gestori PEC, una nuova campagna italiana di malspam veicolata tramite caselle PEC compromesse. Il fine, come in precedenti campagne di natura simile, è stato la diffusione di malware attraverso MintLoader.

Malware della settimana

Sono state individuate, nell’arco della settimana, 13 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Rilevate sei campagne generiche a tema “Delivery”, “Aggiornamenti”, “Fattura”, “Prezzi”, “Ordine” e “Banking” distribuite mediante email con allegati ZIP e RAR.
2. Remcos – Individuate una campagna italiana ad argomento “Documenti” veicolata tramite DonutLoader, veicolato con script JS, e cinque campagne generiche a tema “Pagamenti”, “Prezzi”, “Ordine”, “Fattura” e “Delivery”, diffuse attraverso documenti XLS e DOCX e archivi RAR e ZIP.
3. SnakeKeylogger – Scoperte una campagna italiana ad argomento “Documenti” e quattro campagne generiche ad argomento “Contratti”, “Delivery”, “Banking”, diffuse tramite email contenenti allegati RAR, ARJ, ZIP e 7Z.
4. AgentTesla – Osservate una campagna italiana “Documenti” distribuita con allegato TAR e una campagna generica “Booking” veicolata tramite archivio 7Z.
5. Guloader – Individuate due campagne generiche a tema “Prezzi” e “Ordine”, entrambe veicolate con allegati documenti di Word (DOC e DOCX).
6. Rilevate alcune campagne BTMob, Copybara e Sturnus a tema “Banking” diffuse tramite SMS con link che rimandano al download di APK dannosi.
7. MintLoader – Scoperta una campagna italiana a tema “Fattura” diffusa via PEC che allegano ZIP contenenti file HTML.
8. Individuate infine alcune campagne generiche Modiloader, PhantomStealer, XWorm, Grandoreiro che hanno sfruttato i temi “Fattura”, “Ordine” e “Documenti”.

Phishing della settimana

Sono 26 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA, Aruba, e Autostrade per l’Italia, oltre alle sempre frequenti campagne di webmail non brandizzate.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche