In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 52 campagne malevole, di cui 35 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 522 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 18 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema ricorrente nelle campagne di phishing rivolte principalmente a clienti di istituti bancari italiani come Intesa San Paolo, UniCredit, BBVA, RelaxBanking e Sparkasse. Usato inoltre per veicolare i malware Irata e AzraelBot inviati alle vittime come file apk tramite SMS.
2. Delivery – Argomento sfruttato per una campagna di phishing ai danni di Poste Italiane e una, ben strutturata, che ha come target FedEx e i cui dettagli sono stati pubblicati nella nostra news. Inoltre, tramite i brand DHL e SMB, il tema è servito per veicolare i malware Guloader e XWorm.
3. Documenti – Tema utilizzato per veicolare campagne di phishing non brandizzate di generiche Webmail, ma soprattutto per diffondere i malware Formbook, Ousaban e Snake.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Campagna italiana temporaneamente denominata VCRuntime dal CERT-AgID che sfrutta il tema Agenzia delle Entrate per diffondere un malware ancora sconosciuto. Dettagli nel nostro post Telegram.
• Massiccio data breach Telegram attraverso il quale sono state rese disponibili combolist contenenti quasi 2,5 milioni di credenziali (mail e password) di utenti italiani.

Malware della settimana

Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevate 3 campagne italiane a tema “Prelievo“, “Pagamenti”, “Ordine“, diffuse mediante email con allegati PDF, RAR e IMG.
2. Irata – Scoperte 2 campagne che veicolano l’APK malevolo tramite SMS.
3. Remcos – Rilevate 2 campagne italiane a tema “Unicredit” e “Contratti” che veicolano il malware tramite allegati mail BAT e XLS.
4. FormBook – Individuate 2 campagne generiche che hanno sfruttato i temi “Documenti“ e “Ordine” e veicolate tramite email con allegati ZIP e DOC.
5. StrRat – Osservata una campagna italiana a tema “Contratti” che veicola un malware tramite email con allegato ZIP e JAR.
6. XWorm – Rilevata una campagna italiana a tema “Delivery” la cui catena di infezione è ZIP > URL > SMB > ZIP > EXE.
7. Snake – Scoperta una campagna italiana a tema “Documenti” veicolata tramite allegato mail ZIP e che usa come C2 un bot Telegram.
8. Guloader – Rilevata una campagna generica a tema “Delivery” che invia il malware tramite mail come VBS contenuto in un file 7Z.
9. AzraelBot – Individuata una campagna italiana a tema “Banking” che invia un APK malevolo tramite SMS.
10. Ousaban – Osservata una campagna italiana a tema “Documenti” veicolata tramite email con allegato ZIP, MSI e PDF.
11. VCRuntime – Il CERT-AgID ha rilevato infine una campagna di italiana che utilizza il tema “Agenzia delle Entrate”. Le vittime ricevono una PEC contenente un link che scarica un file ZIP denominato “Skype”. All’interno di questo file ZIP si trova un file MSI, che, una volta avviato, esegue un file JAR. A questo JAR vengono forniti una chiave (KEY) e un file con una lunga lista di UUID. Questi UUID contengono informazioni crittografate necessarie per ottenere lo shellcode che verrà eseguito sul computer.

Phishing della settimana

Sono 16 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Poste Italiane e FedEx, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche