In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 59 campagne malevole, di cui 27 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 818 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento del mese

I temi più rilevanti della settimana

Sono 16 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Pagamenti – Tema usato per cinque campagne italiane che veicolano i malware AgentTesla, Stealerium e FormBook e quattro generiche finalizzate alla diffusione di DarkCloud, Remcos e MassLogger, nonché per campagne di phishing rivolte a utenti Aruba e Netsons.
2. Multe – Tema sfruttato in numerose campagne italiane di phishing via email ai danni di PagoPA.
3. Ordine – Argomento adoperato in tre campagne italiane e quattro generiche. Utilizzato per veicolare i malware Remcos, XWorm e AgentTesla nelle campagne italiane e Guloader, MassLogger, XWorm e FormBook in quelle generiche, tutte diffuse a mezzo e-mail.
4. Banking – Tema sfruttato in tre campagne italiane e una generica. Utilizzato per veicolare il malware VipKeylogger nella campagna generica e Copybara in quella italiana, nonché per campagne di phishing via PEC rivolte a utenti Intesa Sanpaolo e ING.
5. Prezzi – Tema ricorrente in diverse campagne generiche. Utilizzato inoltre per veicolare i malware FormBook, Lokibot, AgentTesla e Remcos via e-mail.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Sono attualmente in corso diverse campagne di phishing che utilizzano indebitamente il nome e il logo di PagoPA, nel tentativo di indurre gli utenti a fornire dati personali e informazioni delle carte di credito. Le email fraudolente simulano richieste di pagamento per presunte sanzioni stradali. Maggiori informazioni e gli Indicatori di Compromissione (IoC) sono disponibili nella notizia dedicata.
• Sono state rilevate nuove campagne italiane di malware appartenenti alle famiglie PlanetStealer e Stealerium. Sebbene queste famiglie non siano nuove, la loro attività risulta comunque insolita.

Malware della settimana

Sono state individuate, nell’arco della settimana, 15 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Rilevate due campagne italiane e cinque generiche a tema “Contratti”, “Pagamenti”, “Delivery” e “Ordine” diffuse tramite email con allegati ZIP, RAR e LZH.
2. AgentTesla – Scoperte due campagne italiane e quattro generiche a tema “Ordine”, “Pagamenti” , “Booking” e “Fattura” con email con allegati file ZIP contenenti script JS, e file 7Z, Z e IMG.
3. Remcos – Individuate una campagna italiana “Ordine” diffusa con email con allegato XLS e quattro campagne generiche “Prezzi”, “Pagamenti” e “Delivery” diffuse tramite email contenenti allegati RAR, 7Z e DOCX.
4. MassLogger – Rilevate tre campagne generiche “Prezzi”, “Ordine” e “Pagamenti” veicolate mediante email con allegato RAR.
5. XWorm – Scoperte una campagna italiana “Ordine” diffusa tramite email con allegato ZIP e due campagne generiche “Aggiornamenti” e “Ordine” diffuse con email con allegato RAR.
6. Guloader – Rilevate una campagna italiana a tema “Documenti” diffusa mediante email con allegato ZIP e una campagna generica “Ordine” che utlizza DOCX.
7. Stealerium – Individuate due campagne italiane, una a tema“Pagamenti” veicolata tramite email con allegato ZIP e l’altra, con argomento “Banking”, diffusa mediante email con allegati ZIP e JS.
8. Copybara – Scoperta una campagna italiana a tema “Banking” che veicola l’APK malevolo tramite link inviato con SMS.
9. AsyncRat, DarkCloud, Grandoreiro, Lokibot, ScreenConnect, SnakeKeylogger e VipKeylogger – Rilevate infine diverse campagne generiche a tema “Banking”, “Booking”, “Pagamenti”, “Documenti”, “Prezzi”, “Fattura” veicolate tramite email contenenti allegati file ZIP, 7Z, RAR e XLAM.

Phishing della settimana

Sono 12 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA e Aruba, oltre alle campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche