In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 59 campagne malevole, di cui 22 con obiettivi italiani e 37 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2043 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 21 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Ordine – Tema utilizzato per veicolare numerosi malware: due campagne italiane volte alla diffusione dei malware Purecrypter e Remcos, e sei generiche che veicolano FormBook, MassLogger, AgentTesla e Remcos.
2. Delivery – Argomento sfruttato per due campagne italiane di smishing ai danni di Poste Italiane, nonché utilizzato per diffondere i malware FormBook, MassLogger e Snake Keylogger tramite campagne generiche.
3. Fattura – Tema usato per una campagna di phishing italiana ai danni di utenti Aruba, oltre che per veicolare i malware Remcos, VipKeyLogger, MintLoader e AgentTesla.
4. Pagamenti – Argomento utilizzato per una campagna di phishing italiana ai danni di Paypal e per una generica ai danni di DocuSign. Inoltre, il tema è servito per veicolare i malware Remcos, Lumma Stealer e VipKeyLogger.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Rilevata e contrastata con il supporto dei gestori una nuova campagna malspam veicolata tramite caselle PEC compromesse, finalizzata alla diffusione di malware via MintLoader. Le tecniche adottate sono quelle già note dalle campagne precedenti: abuso di domini .top, utilizzo di DGA per generare dinamicamente gli indirizzi malevoli e utilizzo di script JS e PS1 per la distribuzione del payload.
• Proseguono le campagne FakeCaptcha, tecnica nota come ClickFix, finalizzate a veicolare il malware AsyncRAT anche Italia.
• Allertate diverse amministrazioni riguardo la presenza di informazioni tecniche all’interno di data leak di terze parti.

Malware della settimana

Sono state individuate, nell’arco della settimana, 16 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Remcos – Scoperte una campagna italiana “Delivery” e due campagne generica a tema “Pagamenti”, diffuse tramite email con allegati GZ, TAR e HTML.
2. FormBook – Individuate quattro campagne generiche a tema “Ordine”, “Prezzi” e “Delivery” diffuse tramite email con allegati RAR, 7Z e ZIP.
3. AgentTesla – Rilevate quattro campagne generiche a tema “Contratti”, “Fattura” “Prezzi” e “Ordine” diffuse mediante email con allegati Z, 7Z, ZIP E GZ.
4. Lumma – Individuate tre campagne generiche a tema “Documenti”, “Pagamenti” e “Booking” oltre a una campagna italiana a tema “Legale”, diffuse tramite email con allegati ZIP e HTML o tramite link ad HTML.
5. MassLogger – Scoperte tre campagne generiche a tema “Ordine” e “Delivery” veicolate tramite email con allegati RAR e ZIP.
6. Snake KeyLogger– Individuata una campagna italiana a tema “Documenti” e una campagna generica a tema “Delivery”, veicolate tramite email con allegati IMG e RAR.
7. Purecrypter – Rilevate due campagne italiane che sfruttano i temi “Ordine” e “Contratti, veicolate tramite email con allegati Z e 7Z.
8. VipKeylogger – Scoperte due campagne generiche che sfruttano i temi “Fattura” e “Pagamenti”, diffuse tramite email con allegati RAR e ZIP.
9. AsyncRat – Individuata una campagna italiana a tema “Booking” e una campagna generica a tema “Contratti”, veicolate tramite email con allegati RAR e link a HTML.
10. PureLogs – Scoperta infine una campagna italiana a tema “Preventivo” diffusa tramite email con allegato ZIP.

Phishing della settimana

Sono 12 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Intesa Sanpaolo, WeTeansfer, Aruba, cPanel e Poste Italiane, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche