Sintesi riepilogativa delle campagne malevole nella settimana del 19 – 25 novembre 2022

25/11/2022

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 20 campagne malevole di cui 18 con obiettivi italiani e 2 generiche che hanno comunque coinvolto l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 976 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

I temi più rilevanti della settimana

Sono 9 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

Banking tema sfruttato per campagne di phishing di matrice italiana e ai danni dei principali istituti bancari del Paese.
Ordine utilizzato sempre per campagne AgentTesla, Lokibot e AveMaria.
Riattivazione usato per campagne di phishing Aruba.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 5 famiglie di malware. Emotet assente per la seconda settimana consecutiva. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

AgentTesla – Individuate 4 campagne tema “Pagamenti” e “Ordine”, di cui una generica, veicolate tramite email con allegati file TAR, GZ e 7Z.
AveMaria – Campagna italiana a tema “Ordine” veicolata tramite email con allegati XZ. Il loader utilizzato è ModiLoader.
Qakbot – Campagna italiana a tema “Resend“ veicolata tramite email con link al dowload di file ZIP contenenti file ISO da cui si estrae un VBS.
Ursnif – Campagna italiana a tema “Delivery” (DHL/BRT) veicolata tramite email con allegati XLS.
Lokibot – Campagna italiana a tema “Ordine” rilevata da fonti OSINT.

Phishing della settimana

Su un totale di 12 campagne di phishing sono 8 i brand coinvolti con Aruba il brand più colpito. Di particolare rilievo questa settimana una campagna ai danni di INPS volta non solo a sottrarre documenti anagrafici ma anche i dati del conto corrente.