In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 40 campagne malevole, di cui 37 con obiettivi italiani e tre generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1301 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

Andamento del mese (maggio 2023)

I temi più rilevanti della settimana

Sono 6 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato esclusivamente per le campagne di phishing e smishing rivolte ai clienti di istituti bancari di matrice italiana.
2. Pagamenti – tema sfruttato per diffondere i malware AgentTesla, Ursnif e Quasar.
3. Ordine – Argomento utilizzato per le campagne malware AgentTesla e Avemaria.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 5 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Rilevate quattro campagne a tema “Ordine” e “Pagamenti” diffuse tramite email con allegati 7Z, TGZ e LHA.
2. Qakbot – Individuate due campagne italiane a tema “Resend” diffuse tramite email con allegati PDF e link al download di file ZIP contenente un JS malevolo. Sono stati rilevati casi di dropurl su domini italiani.
3. Quasar –Campagna generica, veicolata in italia, a tema “Pagamenti” veicolata tramite email con allegati PDF con link al download di file JS.
4. Ursnif – Campagna italiana a tema “Pagamenti” (fatturazione BRT) che prova ad innalzare il tono di autorevolezza nominando “Agenzia delle Entrate“. L’email allega un PDF con un link che punta al download di un archivio ZIP contenente il dropper di Ursnif. La particolarità di questa campagna risiede nel meccanismo di “decodifica a tempo” riportato insieme agli IoC sui canali social ufficiali: Telegram e Twitter.
5. Avemaria –Campagna italiana a tema “Ordine” diffusa tramite email con allegati XLS.

Phishing della settimana

Su un totale di 32 campagne di phishing (e smishing) sono 13 i brand coinvolti che interessano principalmente il settore bancario ed una campagna in particolare, a tema “Agenzia Entrate“, veicolata tramite email con allegato PDF con link che rimanda ad una pagina in cui viene richiesto di inserire le credenziali di accesso della propria webmail.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche