In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole di cui 28 con obiettivi italiani e 7 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 438 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 11 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

1. Banking utilizzato esclusivamente per le campagne di phishing che interessano il settore bancario.
2. Pagamenti tema utilizzato per veicolare i malware Formbook e Dridex.
3. Delivery principalmente sfruttato per veicolare Ursnif e per una campagna di Smishing ai danni di IPS.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 5 famiglie di malware per un totale di 10 campagne. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Dridex – tre campagna generiche a tema “Pagamenti” veicolate tramite email con allegati XLS e XLSM.

Ursnif – tre campagne italiane a tema “Delivery” veicolate tramite email con allegati XLS.

AgentTesla – due campagna generiche a tema “Ordine” e “Documenti” diffuse tramite email con allegati EXE e XLL.

Qakbot – campagna italiana a tema “Resend” e allegati ZIP veicolati via email.

Formbook – una serie di campagne italiane diffuse simultaneamente, quindi raggruppate in un’unica campagna, a tema “Pagamenti” e veicolate tramite email con allegati LZH e DOC.

Phishing della settimana

Su un totale di 25 campagne di phishing, sono 11 i brand coinvolti questa settimana. Nello specifico:

Intesa Sanpaolo, Poste, IPS, BNL, RelaxBanking, Nexi – sono i brand della settimana presi di mira dalle campagne di phishing a tema “Banking”.

Webmail generic – campagna di phishing mirata al furto di credenziali di accesso a webmail generiche.

Zimbra e Roundcube – campagne a tema “Avvisi sicurezza” il cui scopo è quello di sottrarre le credenziali di accesso alle rispettive webmail.

Premi – Comunicazione via email di una fantomatica vinta vincita di un SAMSUNG Galaxy Z Fold3 5G dietro pagamento di un piccolo importo. Se si procede alla compilazione della form il sito esegue redirect ad altri siti simili ma con prodotti diversi (iPhone 11 Pro e iPhone 12).

Microsoft – campagna a tema “Avviso sicurezza” mirata a sottrarre le credenziali di Outlook Web App.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche