In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 43 campagne malevole, di cui 38 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 537 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 11 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato esclusivamente per le campagne di phishing e smishing rivolte principalmente a clienti di istituti bancari di matrice italiana.
2. Scadenze – tema sfruttato per il phishing ai danni di clienti Aruba.
3. Resend – argomento utilizzato per le campagne malware Vidar e Pikabot.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Approfondimenti della settimana:

1. Ripresa massiva delle campagne Remcos sfruttando il tema Agenzia delle Entrate
2. Il tema Agenzia delle Entrate sfruttato ancora una volta per veicolare SystemBC
3. Vidar nasconde i C2 nelle bio dei profili Telegram e SteamCommunity

Malware della settimana

Sono state osservate nello scenario italiano 6 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. Remcos – Contrastate numerose ondate a tema “Agenzia Entrate“ raggruppate in due campagne poichè i C2 sono rimasti invariati. Risultano invece differenti le share pubbliche e le dropurl. Gli indicatori e i dettagli sono stati resi pubblici sul canale Telegram.
2. Pikabot – Osservate due campagne italiane a tema “Resend” diffuse tramite email con allegati ZIP contenenti JS malevoli.
3. Formbook – Individuate due campagne generiche, a tema “Delivery“ e “Ordine”, veicolate tramite email con allegati RAR e 7Z.
4. AgentTesla – Rilevate due campagne, di cui una italiana ed una generica, a tema “Contratti“ e “Preventivo“, veicolate tramite email con allegati RAR e Z.
5. SystemBC – Contrastata una campagna italiana, diffusa massivamente sfruttando il tema “Agenzia Entrate” e – come per Remcos – contenente un link a file ZIP. I dettagli ed i relativi indicatori sono stati riportati in un avviso sul canale Telegram.
6. Vidar – Individuata una campagna generica, veicolata in Italia, a tema “Resend”, diffusa tramite email con link a ZIP contenenti eseguibile di oltre 600MB. Ulteriori dettagli e gli indicatori sono stati pubblicati in un avviso sul canale Telegram.

Phishing della settimana

Sono 8 i brand della settimana coinvolti nelle campagne di phishing e smishing che interessano principalmente il settore bancario italiano.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche