Dic 09, 2024 Attacchi, Hacking, Malware, Minacce, Minacce, News, Phishing, Tecnologia, Vulnerabilità

---

Nel corso di questa settimana, il CERT-AGID ha individuato e analizzato 37 campagne malevole nel contesto italiano di sua competenza.

Di queste, 20 erano specificamente mirate a obiettivi italiani, mentre le altre 17, pur essendo di carattere generico, hanno comunque coinvolto il territorio nazionale. A seguito dell’analisi, il CERT-AGID ha fornito agli enti accreditati i 622 indicatori di compromissione (IoC) rilevati.

I temi della settimana

Questa settimana il CERT-AGID ha rilevato 16 temi sfruttati per diffondere campagne malevole sul territorio italiano.

Tra questi, il tema delle Fatture è stato uno dei più ricorrenti, impiegato per diffondere malware come AgentTesla, Formbook e Rhadamanthys attraverso campagne generiche.

Lo stesso argomento è stato sfruttato anche in due campagne di phishing italiane: la prima ha riguardato Aruba, veicolata tramite PEC compromesse, la seconda  ha colpito DocuSign.

Il tema Legale si è rivelato un veicolo per malware quali PureLogs Stealer, AsyncRAT, RedLine, Rhadamanthys e XMrig, tutti diffusi tramite campagne mirate al pubblico italiano.

Anche il tema degli Ordini è stato utilizzato per orchestrare attacchi, dapprima in una campagna generica di phishing sul tema Webmail, e poi in altre iniziative per distribuire Rhadamanthys attraverso il loader Guloader e SnakeKeylogger.

I Pagamenti hanno rappresentato un altro vettore significativo, con una campagna generica di phishing mirata agli utenti di Office365 e altre due operazioni destinate a diffondere AgentTesla e Formbook.

Particolare attenzione, come sempre, è stata dedicata al tema del Banking, sfruttato per tre campagne condotte tramite PEC compromesse contro clienti di Intesa Sanpaolo, una delle banche italiane più esposte a queste minacce.

Tra gli eventi di particolare interesse segnaliamo l’aumento delle campagne di phishing condotte tramite PEC compromesse o fraudolente. Questa tecnica è stata utilizzata soprattutto per attacchi mirati al settore bancario, con campagne che hanno colpito gli utenti di Intesa Sanpaolo.

Infine, è stato analizzato un caso insolito riguardante il malware AgentTesla. Una sua versione, distribuita come allegato email, presentava un meccanismo di attivazione difettoso che impediva il traffico di rete e rendeva difficile l’individuazione della sua natura.

Nei giorni successivi, gli attaccanti hanno risolto il problema con una nuova versione del malware, distribuita tramite una nuova campagna.

Malware della settimana

Questa settimana sono state rilevate 11 diverse famiglie di malware che hanno preso di mira l’Italia.

Tra le campagne più significative figura FormBook, diffuso attraverso una campagna italiana a tema “Delivery” e due campagne generiche legate ai temi “Pagamenti” e “Fattura”. Queste operazioni hanno sfruttato email contenenti allegati compressi in formato ZIP e RAR per colpire le vittime.

Anche Rhadamanthys, veicolato tramite il loader GuLoader, ha rappresentato una minaccia rilevante, con una campagna italiana a tema “Legale” e due campagne generiche basate sui temi “Ordine” e “Fattura”. Gli allegati utilizzati variavano tra file XLSX, PDF e link a file dannosi.

AgentTesla ha invece caratterizzato due campagne generiche legate ai temi “Pagamenti” e “Fattura”, distribuite tramite email con file ZIP allegati.

Tra le altre famiglie di malware, XMRig è stato individuato in una campagna italiana a tema “Legale”, veicolata tramite allegati ZIP, mentre PureLogs e Redline sono stati utilizzati in campagne simili, sempre a tema “Legale”, con allegati BAT ed EXE rispettivamente.

Anche AsyncRAT ha seguito lo stesso tema, utilizzando allegati compressi contenenti file eseguibili.

Remcos, anch’esso distribuito tramite GuLoader, è stato rilevato in una campagna italiana che sfruttava email con allegati 7Z.

Parallelamente, KoiStealer è stato diffuso tramite allegati ZIP, mentre SnakeKeylogger è stato associato a una campagna italiana a tema “Ordine” con email contenenti file Z.

Infine, SpyNote si è distinto per la sua diffusione attraverso una campagna generica che sfruttava il tema “Aggiornamenti”, distribuendo file APK malevoli tramite SMS.

Phishing della settimana

Questa settimana sono stati 11 i brand coinvolti nelle campagne di phishing che hanno preso di mira utenti italiani.

Tra i marchi maggiormente colpiti spiccano Aruba, Intesa Sanpaolo, come abbiamo scritto in precedenza. Anche le Dogane, però, sono rientrate tra i bersagli privilegiati dai cybercriminali.

Le campagne a tema Aruba hanno sfruttato principalmente email fraudolente inviate da caselle PEC compromesse, una tecnica particolarmente insidiosa poiché sfrutta la fiducia generalmente riposta nella posta certificata.

Intesa Sanpaolo, regolarmente al centro di numerosi attacchi, continua a essere un obiettivo frequente. I cybercriminali hanno orchestrato campagne di phishing estremamente mirate, inviando email apparentemente provenienti dalla banca e progettate per reindirizzare gli utenti verso copie fedeli dei portali di home banking.

Tornando alla categoria di attacchi che ha interessato le Dogane, si tratta di un settore strategico che gestisce informazioni sensibili legate alle operazioni di import-export.

Anche in questo caso, le email malevole hanno simulato comunicazioni ufficiali, convincendo le vittime a scaricare file contenenti malware o a inserire dati riservati su siti contraffatti.

Di particolare rilievo sono state, inoltre, le campagne di phishing generiche che sfruttano il tema delle Webmail. Questi attacchi non si limitano a colpire un marchio specifico ma puntano più in generale a intercettare credenziali di accesso ai servizi email, fondamentali per avviare ulteriori attività malevole.

Gli account compromessi vengono spesso utilizzati come punto di partenza per attacchi a catena, sfruttando la rubrica della vittima o inviando email fraudolente a contatti fidati.

Formati e canali di diffusione

L’ultimo rapporto del CERT-AGID ha rivelato l’impiego di otto formati di file diversi per la diffusione di contenuti malevoli nell’arco della settimana.

Tra questi, il formato ZIP si è confermato il più utilizzato, protagonista di tre campagne, seguito dal formato RAR, impiegato in due occasioni.

Gli altri formati individuati (7Z, HTML, APK, PDF, Z e XLSX) sono stati rilevati in una sola campagna ciascuno, ma restano strumenti insidiosi per veicolare malware.

Le email continuano a rappresentare il canale privilegiato per la diffusione delle minacce informatiche, con ben 30 campagne identificate che sfruttano questo mezzo per raggiungere le vittime.

Anche la posta elettronica certificata, generalmente considerata più sicura, è stata sfruttata in 6  campagne individuata dal CERT-AGID. Da ultimo, si segnala 1 campagna che ha sfruttato gli SMS.

---

• CERT-AGID, malware, Phishing

---

---