In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole, di cui 49 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1257 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID:

I temi più rilevanti della settimana

Sono 12 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

Banking è stato utilizzato prevalentemente per campagne di phishing relative al settore bancario e per una campagna volta a veicolare il malware SmsGrab per dispositivi Android.

Pagamenti utilizzati per veicolare malware Guloader, sLoad,  AgentTesla e Formbook.

Ordine per diffondere Formbook e Snake Keylogger.

Resend tema sfruttato per veicolare Qakbot e Ursnif.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 11 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

Ursnif – individuate tre campagne a tema “Resend” e “Delivery” veicolate tramite email con allegati DOC (che sfruttano una nuova tecnica di evasione) e XLS.

AgentTesla – tre campagne italiane a tema “Pagamento” veicolate tramite email con allegati R11 e ZIP.

Formbook – tre campagne mirate per l’Italia veicolate tramite email a tema “Pagamenti”ed allegati R00, ACE ed XZ.

Qakbot – due campagne a tema “Resend” e “Documenti” veicolate tramite email contenenti un link al download di un file ZIP con documento XLSB.

SmsGrab – due campagne italiane a tema “Banking” e “Aggiornamenti” per veicolare un malware per dispositivi android che ha lo scopo di sottrarre gli SMS ed inviarle al C2.

Guloader – campagna italiana a tema “Pagamenti” veicolata tramite email con link a Onedrive per scaricare l’eseguibile EXE.

SmsControllo – ancora una campagna italiana a tema “Aggiornamenti” veicolata tramite SMS per installare la v1.28 del malware per android in grado di rubare gli SMS e fare Screen Sharing. IoC e ulteriori dettagli sul nostro canale Telegram.

Snake – campagna italiana a tema “Ordine” veicolata tramite email con allegati UUE.

sLoad – campagna italiana a tema “Pagamenti” veicolata tramite email con allegati ZIP contenenti VBS. IoC e ulteriori dettagli sul nostro canale Telegram.

Lokibot – campagna generica a tema “Documenti” veicolata tramite email con allegati DOC.

SpideyBot – ransomware (possibile test) che utlizza Discord per memorizzare la chiave e lo username della macchina compromessa. IoC e ulteriori dettagli sul nostro canale Telegram.

Phishing della settimana

Su un totale di 15 campagne di phishing e i brand coinvolti questa settimana che interessano il settore bancario ad eccezione delle campagne: Webmail generic, Zimbra, Polizia di Stato, Office365 e Aruba.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche