In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 108 campagne malevole, di cui 68 con obiettivi italiani e 40 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 882 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 24 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Multe – Argomento sfruttato in ben 26 campagne di phishing italiane, tutte veicolate tramite email che si presentano come presunte comunicazioni da PagoPA. Il tema è stato anche sfruttato per veicolare una campagna malware.
2. Pagamenti – Tema usato in sette campagne italiane di smishing ai danni di utenti di Autostrade per l’Italia. Il tema è stato inoltre sfruttato in tre campagne generiche volte a distribuire Guloader, PhantomStealer e Remcos.
3. Banking – Argomento sfruttato in sette campagne di phishing italiane ai danni di Intesa Sanpaolo, ING, BPM, Banca Profilo, BNL e SumUp. È stato inoltre usato in alcune campagne malware, due italiane volte alla diffusione di Copybara e una generica veicolante PhantomStealer.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Il CERT-AGID ha avuto evidenza di nuove campagne di phishing ai danni di utenti INPS. In particolare, sono state osservate una campagna diffusa tramite email e volta ad acquisire generalità, contatti, oltre a IBAN e istituto bancario del conto corrente della vittima, ed due campagne veicolate per mezzo di SMS fraudolenti che invitano a “verificare la propria anagrafe per i redditi 2026” e rimandano a una una pagina dove viene richiesto di caricare foto di carta d’identità, tessera sanitaria, patente di guida e ultime buste paga, in maniera simile a precedenti campagne.
• È stato pubblicato il Report riepilogativo sulle tendenze delle campagne malevole analizzate dal CERT-AGID nel 2025, un’analisi sintetica delle attività malevole osservate nel corso dell’anno precedente che hanno interessato il territorio italiano.

Malware della settimana

Sono state individuate, nell’arco della settimana, 17 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Remcos – Rilevate una campagna italiana a tema “Pagamenti” veicolata con allegato RAR e cinque campagne generiche a tema “Ordine”, “Prezzi” e “Pagamenti” veicolate con allegati 7Z, RAR, XLS e DOCX.
2. XWorm – Individuate quattro campagne generiche ad argomento “Curriculum”, “Fattura”, “Delivery” e “Preventivo” diffuse con email con allegati LZ, GZ, RAR e XLAM.
3. AgentTesla – Scoperte una campagna italiana “Ordine” e due campagne generiche “Fattura” diffuse con archivi RAR e TAR.
4. FormBook – Rilevate tre campagne generiche a tema “Prezzi” e “Ordine” distribuite mediante email con allegati ZIP, RAR e DOCX.
5. PhantomStealer – Individuate tre campagne generiche a tema “Pagamenti”, “Prezzi” e “Banking” diffuse con email contenenti allegati RAR e ZIP.
6. VipKeylogger – Individuate una campagna italiana ad argomento “Preventivo” e due campagne generiche ad argomento “Aggiornamenti” e “Preventivo” veicolate tramite allegati ZIP e RAR.
7. Copybara – Individuate due campagne italiane che hanno sfruttato il tema “Banking” e sono state distribuite tramite SMS contenti link ad APK malevoli.
8. PureLogs – Scoperta una campagna italiana “Ordine” diffusa mediante email con allegato ZIP.
9. ScreenConnect – Scoperta una campagna italiana a tema “Delivery” veicolate tramite link a installer MSI malevolo.
10. Rilevate infine diverse campagne generiche che hanno veicolato i malware AsyncRat, DeerStealer, Guloader, Lumma, NeptuneRat, SnakeKeylogger e StrelaStealer sfruttando i temi “Aggiornamenti”, “Fattura”, “Pagamenti”, “Contratti”.

Phishing della settimana

Sono 23 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA, INPS e Autostrade per l’Italia, oltre alle sempre presenti campagne di Webmail non brandizzate.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche