Sintesi riepilogativa delle campagne malevole nella settimana del 27 giugno – 3 luglio
riepilogo

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 176 campagne malevole, di cui 128 con obiettivi italiani e 48 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1359 indicatori di compromissione (IoC) individuati.
Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.
Andamento della settimana

I temi più rilevanti della settimana

Sono 24 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:
- Rinnovo – Tema impiegato per 51 campagne di phishing, quasi tutte italiane, ai danni di utenti Amazon, Aruba, McAfee, Ministero della Salute, Register, Serverplan, SiteGround, Squarespace e Wix.
- Multe – Argomento sfruttato in 37 campagne di phishing italiane, tutte veicolate tramite email o SMS che si fingono comunicazioni di contravvenzioni non saldate e abusano dei nomi di PagoPA e SEND.
- Banking – Tema ricorrente nelle campagne di phishing rivolte principalmente a clienti di istituti bancari italiani e non, come BPM, Credit Agricole, ING, Inbank, Intesa Sanpaolo, Klarna e PayPal. Usato inoltre per veicolare i malware Remcos, Formbook, AgentTesla e XWorm.
- Ordine – Argomento utilizzato per veicolare numerosi malware, fra cui AgentTesla, MassLogger, PhantomStealer, Remcos e XWorm. Sfruttato, inoltre, per una campagna di phishing italiana ai danni di utenti Subito.it.
Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.
Eventi di particolare interesse:
- Individuata una nuova campagna di phishing che abusa del nome di Poste Italiane per sottrarre dati personali agli utenti. Mail fraudolente invitano a confermare l’account e il dispositivo principale per poter continuare a usufruire dei servizi di Poste Italiane. Il sito contraffatto richiede l’inserimento di credenziali, codice OTP inviato via SMS e dettagli della carta di credito.
- Il CERT-AGID ha pubblicato un paper in cui viene esaminata la Multi-Token Prediction (MTP), una tecnologia che offre grandi vantaggi riducendo i tempi di attesa dell’IA grazie a un modello assistente che anticipa blocchi di parole. Lo studio evidenzia però che questa ottimizzazione comporta rischi per la sicurezza operativa e potenziali disallineamenti dello stato interno del sistema. L’analisi conclude che per mantenere il servizio stabile e sicuro, l’efficienza prestazionale deve essere sempre bilanciata da un controllo rigoroso e da un assistente altamente prevedibile.
- Rilevati numerosi phishing che impersonificano il Ministero della Salute. Le campagne si basano sul pretesto di una presunta sostituzione obbligatoria della tessera sanitaria. I siti imitano fedelmente l’aspetto grafico dei portali istituzionali al fine di impossessarsi dei dati delle carte elettroniche di pagamento. I dettagli nella news dedicata.
Malware della settimana

Sono state individuate, nell’arco della settimana, 13 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:
- AgentTesla – Individuate sei campagne italiane a tema “Fattura”, “Informazioni”, “Ordine” e “Preventivo” e tre campagne generiche a tema “Delivery”, “Fattura” e “Banking” veicolate con allegati TAR, ZIP, UUE e IMG.
- FormBook – Scoperte due campagne italiane ad argomento “Fattura” e sette campagne generiche “Contratti”, “Delivery”, “Prezzi”, “Banking”, “Fattura” e “Preventivo” diffuse con archivi ZIP e RAR.
- Remcos – Osservate una campagna italiana “Banking” e sei campagne generiche a tema “Aggiornamenti”, “Ordine”, “Documenti”, “Prezzi” e “Contratti” distribuite con allegati ARJ, RAR, ZIP, TAR e XLS.
- MassLogger – Rilevate quattro campagne generiche ad argomento “Ordine” e “Prezzi” diffuse tramite archivi ZIP e RAR.
- MintLoader – Individuata una campagna italiana a tema “Fattura” veicolata tramite comunicazioni PEC che allegano ZIP contenenti file HTML.
- PhantomStealer – Osservate tre campagne generiche ad argomento “Ordine” e “Documenti” diffuse con allegati ZIP e RAR.
- PureLogs – Scoperte una campagna italiana e due generiche che hanno sfruttato i temi “Fattura” e “Prezzi” e sono state distribuite con allegati RAR e XLS.
- XWorm – Rilevate tre campagne generiche a tema “Ordine” e “Banking” veicolate con file XLS, RAR e 7Z.
- GlitchSPY – Individuata una campagna generica per dispositivi Android a tema “Acquisti” e veicolata tramite SMS contenenti link per il download dell’APK malevolo.
- Osservate infine diverse campagne generiche che hanno veicolato i malware Nanocore, SiriusRat, Vidar e Guloader sfruttando gli argomenti “Aggiornamenti”, “Notifica” e “Prezzi” per mezzo di allegati ZIP e RAR.
Phishing della settimana

Sono 33 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Ministero della Salute, SEND e PagoPA.
Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche
