Sintesi riepilogativa delle campagne malevole nella settimana del 18 – 24 gennaio – CERT-AGID

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 53 campagne malevole, di cui 29 con obiettivi italiani e 24 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 896 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 21 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Ordine – Argomento sfruttato per veicolare molti malware, in particolare per tre campagne italiane finalizzate a diffondere StrRat e ModiLoader, e per tre generiche con payload SankeKeyLogger, Formbook e AgentTesla.
2. Banking – Tema sfruttato per tre campagne malware italiane: due smishing volti alla distribuzione dei malware Spynote e Copybara e un phishing via mail che distribuiva MassLogger. Riscontrate inoltre due campagne italiane di phishing rivolte a clienti di istituti bancari: una veicolata via PEC con target Intesa Sanpaolo e un’altra ai danni di Mediolanum che sfrutta la posta elettronica ordinaria.
3. Erogazioni – Argomento sfruttato per tre campagne italiane di smishing ai danni di INPS, nonché utilizzato per una campagna che aveva il Ministero della Salute nel mirino.
4. Documenti – Tema utilizzato per due campagne italiane che veicolano i malware Rhadamanthys e Remcos e per due phishing che sfruttano webmail generiche.
5. Aggiornamenti – Argomento utilizzato per diverse campagne di phishing, italiane e generiche, che utilizzano finte comunicazioni provenienti da generiche webmail.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Questa settimana è stata rilevata una campagna di smishing a tema INPS basata su due domini fraudolenti che imitano il nome e il logo dell’Istituto. Attraverso SMS apparentemente ufficiali, le vittime vengono indirizzate a un sito malevolo dove viene richiesto, per poter continuare ad usufruire delle erogazioni dell’Ente, l’invio di carta d’identità, tessera sanitaria, patente di guida e un selfie con tali documenti. I dati sottratti possono essere utilizzati dai cybercriminali per creare un’identità SPID a nome della vittima al fine di deviare emissioni di stipendi e pensioni, o vendere i documenti nel dark web per altre frodi.
• Nuova ondata di malspam Vidar rilevata nella notte del 20 gennaio. Sfruttate nuovamente caselle PEC compromesse per inviare e-mail malevole, puntando sull’attendibilità di queste comunicazioni per massimizzare il tasso di successo degli attacchi.
• Prosegue la campagna di phishing che sfrutta il nome e il logo del Ministero della Salute, con nuovi domini e URL di redirect. Gli IoC relativi a queste campagne sono stati aggiornati e sono disponibili pubblicamente nella news presente sul sito del CERT-AGID.

Malware della settimana

Sono state individuate, nell’arco della settimana, 14 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevate tre campagne generiche a tema “Booking”, “Delivery” e “Ordine” diffuse mediante email con allegati RAR e GZ.
2. ModiLoader – Scoperte due campagne italiane a tema “Ordine” e una campagna generica a tema “Contratti” veicolate tramite email con allegati RAR e GZ.
3. SnakeKeylogger – Scoperte tre campagne generiche, due a tema “Pagamenti” e una a tema “Ordine”, diffuse tramite email con allegati RAR.
4. AsyncRAT – Scoperte tre campagne italiane a tema “Legale”, diffuse con email contenenti link file ZIP.
5. Danabot – Individuate due campagne generiche a tema “Booking” diffuse tramite email con link a pagine con CAPTCHA finti.
6. FormBook – Rilevate due campagne campagne a tema “Ordine” e “Contratti” veicolate tramite email con allegato ZIP.
7. MassLogger – Scoperte una campagna italiana a tema “Banking” e una generica a tema “Contratti”, diffuse tramite email contententi allegati RAR e BAT.
8. Remcos – Individuate una campagna italiana a tema “Documenti”, diffusa tramite email con allegato ZIP, e una campagna generica a tema “Documenti”, diffusa tramite email con allegato DOCX.
9. VIPKeylogger – Scoperta una campagna generica ad argomento “Preventivo” diffusa tramite email con allegato RAR.
10. Vidar – Rilevata una campagna italiana a tema “Pagamenti”, veicolata tramite email provenienti da caselle PEC compromesse con link a script JS malevolo.
11. STRRat – Individuata una campagna italiana a tema “Ordine”, veicolata tramite email con allegato JAR.
12. Rhadamanthys – Scoperta una campagna italiana a tema “Documenti”, diffusa tramite email con allegato ZIP.
13. SpyNote – Individuata una campagna italiana che sfrutta il tema “Banking” e veicola file APK tramite SMS.
14. CopyBara – Scoperta infine una campagna italiana a tema “Banking”, veicolata con APK tramite SMS.

Phishing della settimana

Sono 11 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Inps e Aruba, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche