In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 20 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 446 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 17 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema ricorrente sfruttato per diverse campagne di phishing via PEC rivolte a clienti di Intesa Sanpaolo. Usato inoltre per veicolare i malware Irata e RedLine, diffusi rispettivamente tramite SMS ed email.
2. Pagamenti – Tema utilizzato per alcune campagne di phishing italiane e non ai danni di Microsoft, ho. Mobile e SumUp. Inoltre, il tema è servito per veicolare i malware AgentTesla e Formbook.
3. Aggiornamenti – Argomento sfruttato per campagne italiane di phishing ai danni di cPanel, nonché utilizzato per diffondere il malware Babadeda.
4. Preventivo – Tema utilizzato per una campagna di phishing italiana via PEC ai danni di Aruba e per veicolare i malware AsyncRAT e Formbook.
5. Legale – Tema frequentemente utilizzato nelle ultime settimane, sfruttato per veicolare diverse famiglie di malware. Questa settimana è stato utilizzato in particolare per diffondere LummaStealer e Rhadamanthys.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• È stata individuata una campagna di smishing ai danni di INPS. Attraverso un messaggio SMS ingannevole che simula una comunicazione urgente dall’ente previdenziale, le vittime vengono reindirizzate a un sito web che imita il portale ufficiale dell’INPS. Qui vengono raccolte informazioni personali e finanziarie, tra cui nome, cognome, codice fiscale, numero di telefono, dati della carta di credito e IBAN. I dati sottratti vengono inviati a un bot Telegram sfruttato dagli attaccanti come C2. Ulteriori informazioni e IoC nella notizia dedicata.
• Divulgati i database di due enti italiani, con la conseguente esposizione di numerosi dati personali di cittadini. A dicembre 2024, un attacco informatico ha colpito l’Avis Intercomunale Arnaldo Colombo, con la pubblicazione online di circa 420.000 record contenenti informazioni personali, tra cui nome, codice fiscale, indirizzo e gruppo sanguigno. Il breach è stato rivendicato dal collettivo ransomware Argonauts. Un altro attacco, avvenuto a novembre, ha colpito l’editore italiano EDT, ma è stato solo questa settimana che i dati sono stati divulgati online, con la pubblicazione di oltre 416.000 record contenenti informazioni personali degli utenti, tra cui indirizzi email e password.

Malware della settimana

Sono state individuate, nell’arco della settimana, 9 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Rilevate una campagna italiana a tema “Pagamenti” e tre campagne generiche a tema “Delivery”, “Preventivo” e “Fattura”, veicolate tramite email con allegati ZIP e XLA.
2. AgentTesla – Rilevate tre campagne generiche a tema “Pagamenti” e “Delivery”, diffuse mediante email con allegati ZIP e 7Z.
3. Irata – Individuate due campagne italiane che sfruttano il tema “Banking” e veicolano l’APK malevolo tramite SMS.
4. Babadeda – Scoperta una campagna italiana a tema “Aggioranmenti”, diffusa mediante email con allegato RAR contenente file LNK.
5. LummaStealer – Individuata una campagna italiana a tema “Legale”, diffusa tramite email con allegati ZIP e 7Z.
6. Zanubis – Rilevata una campagna generica che sfrutta il tema “TikTok” e veicola l’APK malevolo tramite SMS.
7. Rhadamanthys – Rilevata una campagna generica a tema “Legale”, diffusa tramite email con allegato ZIP contenente un file PDF malevolo.
8. AsyncRAT – Individuata una campagna italiana a tema “Fattura”, veicolata tramite email con allegato ZIP.
9. Redline – Rilevata infine una campagna generica a tema “Banking”, veicolata tramite email con allegato ISO.

Phishing della settimana

Sono 11 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, Intesa SanPaolo e Microsoft, ma ancor di più le campagne orientate a Webmail generiche che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche