In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole di cui 18 con obiettivi italiani e 8 generiche che hanno comunque coinvolto l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 228 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

I temi più rilevanti della settimana

Sono 13 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Account sospeso e Pagamenti – temi sfruttati rispettivamente per campagne di phishing volte a sottrarre le credenziali di accesso e/o i dati del conto corrente e per veicolare i malware AgentTesla e Snake keylogger.
2. Banking – tema utilizzato per le campagne di phishing rivolte ai clienti di istituti bancari di matrice italiana e per veicolare il malware SmsSpy.
3. Erogazioni – tema sfruttato per le campagne di phishing INPS che hanno lo scopo di sottrarre documenti di identità e in alcuni casi anche gli estremi del conto corrente.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 5 famiglie di malware per un totale di 11 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Individuate sei campagne, di cui cinque italiane a tema “Pagamenti” ed una generica a tema “Ordini”. Le email sono state veicolate con allegati RAR, IMG e ZIP.
2. Snake – Rilevate due campagne generiche a tema “Banking” e “Pagamenti” veicolate tramite email con allegati XLS e 7Z.
3. SmSpy – Campagna italiana a tema “Banking” veicolata tramite attività di smishing con link al download di un file APK.
4. Ursnif – Campagna italiana a tema “Agenzia Entrate” veicolate tramite link a file ZIP. I dettagli sul canale Telegram.
5. Raccoon – Campagna generica veicolata tramite email con link (shorturl) che punta al download di un file XLL. Una volta eseguito viene scaricato un pacchetto ZIP contenente un eseguibile mascherato da JPG che provvede a scaricare codice Base64 (cifrato AES) da eseguire in memoria tramite powerhsell.

Phishing della settimana

Su un totale di 15 campagne di phishing sono 10 i brand coinvolti. Anche questa settimana sono state particolarmente insistenti le campagne di phishing ai danni utenti INPS ed il phishing che utilizza frontend statici basati su IPFS, per quest’ultimo è stato diramato un alert attraverso il canale Telegram.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche