In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 58 campagne malevole di cui 48 con obiettivi italiani ed 10 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1314 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 18 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano.

Banking è stato utilizzato per le campagne di phishing che interessano il settore bancario e per veicolare il malware Brata ed una campagna FormBook.

Documenti tema utilizzato per veicolare i malware AgentTesla, Emotet e per campagne di phishing WeTransfer e OneDrive.

Resend è stato sfruttato esclusivamente per veicolare il malware Emotet.

CyberWar tema d’eccezione per diramare gli IoC relativi all’emergenza Ucraina.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 9 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Emotet – nove campagne mirate per l’Italia veicolate tramite email a tema “Resend” e con allegati XLSM, XLS e ZIP con password contenente XLSM.

Formbook – nove campagne, di cui sei italiane e tre generiche, veicolate sfruttando vari temi: “Preventivo”, “Pagamenti”, “Acquisti”, “Banking”, “Ordine”, “Informazioni” veicolate tramite email con allegati 7Z, XZ, DOC e ISO.

AgentTesla – quattro campagne, di cui tre italiane ed una generica, a tema “Ordine”, “Documenti” e “Pagamenti” veicolate tramite email con allegato file XLSX, R00, GZ e ISO.

Ursnif – quattro campagne italiane di cui due a tema “INPS” veicolate tramite email e allegati ZIP contenenti file HTA.

Brata – due campagne italiane a tema “Avvisi di sicurezza” veicolate tramite SMS con link al download di file APK.

Qakbot – due campagne italiane rispettivamente a tema “Resend” e “Pagamenti” veicolate tramite email con link al download di file ZIP contenenti XLSB.

Redline – campagna italiana a tema “Sociale” veicolata tramite email con allegati RAR.

WarzoneRat – campagna italiana a tema “Pagamenti” veicolata tramite email con allegati DOC.

Ucraina – utilizzato per raccogliere gli IoC relativi alla minaccia in Ucraina. Comprendono indicatori per i malware Hermetic Wiper/Wizard, Isaac Wiper, Hermetic ransom e similari.

Phishing della settimana

Su un totale di 31 campagne di phishing, sono 20 i brand coinvolti questa settimana che interessano totalmente il settore bancario ad eccezione delle campagne: Webmail generic, Wetransfer, Sanità, Onedrive, Outlook, Zimbra, Polizia di Stato, Apple, Office365.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche