Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 17 gennaio – CERT-AGID

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 49 campagne malevole, di cui 29 con obiettivi italiani e 20 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 796 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 16 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Pagamenti – Argomento utilizzato per veicolare numerosi malware, fra cui Snake Keylogger, Strela Stealer, Formbook e Darkcloud, oltre a due campagne generiche di phishing ai danni di DHL e di una generica webmail.
2. Banking – Tema ricorrente nelle campagne di smishing e phishing rivolte a clienti di istituti bancari italiani e non, come Poste italiane, Intesa Sanpaolo e Mediolanum. Usato inoltre per tre campagne italiane di smishing che veicolavano i malware Irata e SpyNote tramite APK malevoli.
3. Delivery – Tema sfruttato per cinque campagne italiane di phishing e smishing ai danni di DHL, GLS e Poste Italiane.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Il CERT-AGID ha avuto evidenza di una campagna di phishing attualmente attiva che sfrutta il logo e il nome del Ministero della Salute per indurre le vittime a fornire dati personali e finanziari.
  Email fraudolente, spacciate per comunicazioni ufficiali dell’Ente, invitano gli utenti a inserire i loro dati personali per ricevere un presunto rimborso di €265,67 da parte del Sevizio Sanitario Nazionale.
• Sono stati recentemente diffusi su forum underground oltre 10 GB di dati rubati tramite malware Lumma Stealer. Tra le informazioni esposte risultano esserci dati personali fra cui username, password, URL del sito web associato alle credenziali rubate, browser con relativa versione e sistema operativo utilizzato.
• Analizzata dal CERT-AGID una campagna Lumma Stealer con falso CAPTCHA condotta nel mese di ottobre 2024 attraverso un domino italiano compromesso. Questo metodo si sta dimostrando estremamente efficace per gli attaccanti poiché sfrutta la fiducia che gli utenti ripongono nelle sfide CAPTCHA, generalmente percepite come controlli di sicurezza legittimi per verificare l’identità umana.

Malware della settimana

Sono state individuate, nell’arco della settimana, 14 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevata una campagna italiana a tema “Prezzi”, e tre campagne generiche a tema “Booking” e “Pagamenti”, veicolate tramite email con allegati ARJ, 7Z, TAR e RAR.
2. MassLogger – Individuate due campagne italiane a tema “Contratti” e “Banking”, e una campagna generica a tema “Ordine”, diffuse mediante email con allegati BAT, ZIP e RAR.
3. Remcos – Scoperte tre campagne italiane che sfruttano i temi “Ordine”, “Preventivo” e “Documenti”, veicolate tramite email con allegati GZ, TGZ e ZIP.
4. LummaStealer – Rilevate due campagne generiche a tema “Booking”, diffuse tramite email con allegato PDF e link a script malevoli PS1.
5. SpyNote – Individuate due campagne italiane che sfruttano il tema “Banking” e veicolano l’APK malevolo tramite SMS.
6. FormBook – Scoperta una campagna italiana a tema “Ordine” e una campagna generica a tema “Pagamenti”, veicolate tramite email con allegati XZ e Z.
7. NetSupport – Individuata una campagna italiana a tema “Booking”, diffusa tramite email con allegato PDF.
8. SnakeKeylogger – Scoperta una campagna italiana a tema “Ordine” veicolata tramite email con allegato IMG.
9. SnakeKeylogger – Rilevata una campagna generica a tema “Pagamenti” diffusa tramite email con allegato ZIP.
10. Irata – Individuata una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
11. DarkCloud – Individuata una campagna generica a tema “Pagamenti”, veicolata tramite email con allegato RAR.
12. Modiloader – Rilevata una campagna italiana a tema “Preventivo”, veicolata tramite email con allegato GZ.
13. CobaltStrike – Scoperta una campagna italiana a tema “Aggiornamenti”, veicolata tramite email con link malevoli.
14. VIPKeylogger – Individuata infine una campagna generica a tema “Preventivo” diffusa tramite email con allegato PDF.

Phishing della settimana

Sono 11 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Intesa Sanpaolo, Poste Italiane, DHL e GLS, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche