CERT-AGID 18 – 24 gennaio: una nuova campagna a tema INPS (e ancora Vidar)

Questa settimana, il CERT-AGID ha rilevato e analizzato un totale di 53 campagne malevole nel contesto italiano di sua competenza. Di queste, 29 erano mirate specificamente a obiettivi italiani, mentre 24 erano di carattere generico ma hanno comunque avuto un impatto sul territorio nazionale.

Agli enti accreditati sono stati forniti 896 indicatori di compromissione (IoC) identificati nel corso delle analisi.

I temi della settimana

Questa settimana sono stati individuati 21 temi sfruttati per condurre campagne malevole sul territorio italiano.

Il tema degli Ordini è stato impiegato per numerose campagne malware, tra cui tre mirate a obiettivi italiani, finalizzate a diffondere StrRat e ModiLoader, e tre di carattere generico che distribuivano SnakeKeyLogger, Formbook e AgentTesla.

Il settore Banking è stato sfruttato per tre campagne malware italiane: due attacchi di smishing che miravano a diffondere i malware Spynote e Copybara e un’operazione di phishing via email che distribuiva MassLogger.

Sono state inoltre rilevate due campagne di phishing rivolte a clienti di istituti bancari italiani: una veicolata via PEC e mirata a Intesa Sanpaolo, l’altra indirizzata ai clienti Mediolanum, utilizzando la posta elettronica ordinaria.

Il tema delle Erogazioni ha interessato tre campagne italiane di smishing contro l’INPS, oltre a una campagna che prendeva di mira il Ministero della Salute.

L’argomento Documenti è stato utilizzato per due campagne italiane che diffondevano i malware Rhadamanthys e Remcos, oltre a due campagne di phishing che sfruttavano webmail generiche.

Gli Aggiornamenti sono stati il pretesto per diverse campagne di phishing, sia italiane che generiche, che si presentavano sotto forma di finte comunicazioni provenienti da servizi di webmail.

Gli altri temi rilevati sono stati sfruttati per condurre ulteriori campagne di malware e phishing, colpendo obiettivi diversi e utilizzando modalità variegate.

Tra gli eventi di particolare interesse segnalati questa settimana, spicca una sofisticata campagna di smishing a tema INPS.

Gli attaccanti hanno utilizzato due domini fraudolenti che imitano l’identità visiva dell’Istituto, inclusi nome e logo, per inviare SMS apparentemente ufficiali.

Fonte: CERT-AGID

Mutuo 100% per acquisto in asta

assistenza e consulenza per acquisto immobili in asta

 

Questi messaggi indirizzavano le vittime a un sito malevolo, dove veniva richiesto l’invio di documenti personali come carta d’identità, tessera sanitaria, patente di guida e un selfie con tali documenti.

I dati sottratti possono essere sfruttati per creare identità SPID a nome delle vittime, utilizzate poi per deviare stipendi e pensioni o per altre attività fraudolente sul dark web.

Un’altra segnalazione riguarda una nuova ondata di malspam Vidar, individuata nella notte del 20 gennaio. Gli attaccanti hanno utilizzato caselle PEC compromesse per inviare email malevole, sfruttando l’apparente affidabilità di queste comunicazioni per aumentare il successo degli attacchi.

Infine, continua la campagna di phishing che utilizza il nome e il logo del Ministero della Salute, ampliandosi con nuovi domini e URL di reindirizzamento. Gli indicatori di compromissione (IoC) relativi a queste attività sono stati aggiornati e resi disponibili pubblicamente sul sito del CERT-AGID.

Malware della settimana

Le campagne AgentTesla si sono distinte per la loro diffusione attraverso email a tema “Booking”, “Delivery” e “Ordine”, contenenti allegati compressi in formato RAR e GZ.

Simile strategia è stata adottata per ModiLoader, presente con due campagne italiane a tema “Ordine” e una generica a tema “Contratti”. Anche SnakeKeylogger è stato distribuito tramite tre campagne generiche, focalizzandosi sui temi “Pagamenti” e “Ordine”.

Per quanto riguarda AsyncRAT, sono emerse tre campagne italiane a tema “Legale”, diffuse tramite email che includevano link a file ZIP. Danabot è stato veicolato attraverso due campagne generiche a tema “Booking”, con l’aggiunta di pagine con CAPTCHA falsi per rendere più credibile l’attacco.

Fonte: CERT-AGID

Tra gli altri malware rilevati, FormBook è stato diffuso con due campagne sui temi “Ordine” e “Contratti”, mentre MassLogger ha preso di mira sia il settore “Banking” in Italia che il tema “Contratti” con campagne generiche.

Remcos si è presentato con una campagna italiana e una generica, entrambe a tema “Documenti”, ma veicolate rispettivamente tramite allegati ZIP e DOCX.

VIPKeylogger ha fatto il suo ingresso con una campagna generica legata al tema “Preventivo”, distribuita tramite allegati RAR, mentre Vidar ha colpito con una campagna italiana a tema “Pagamenti”, utilizzando email provenienti da caselle PEC compromesse con link a script JS malevoli.

Tra le campagne italiane, spiccano inoltre quella di STRRat, incentrata sul tema “Ordine” e diffusa tramite allegati JAR, e quella di Rhadamanthys, focalizzata sui “Documenti” con allegati ZIP.

Infine, i malware SpyNote e CopyBara hanno sfruttato il tema “Banking” per veicolare file APK attraverso campagne di smishing, confermando il crescente utilizzo degli SMS come vettore di attacco.

Phishing della settimana

Questa settimana sono stati rilevati 11 brand coinvolti nelle campagne di phishing, con una particolare concentrazione su temi legati a Inps e Aruba.

Fonte: CERT-AGID

Come consuetudine, a destare ancora più attenzione sono state però le campagne che sfruttano webmail non brandizzate. Questi attacchi, mirati a sottrarre dati sensibili agli utenti, si distinguono per l’assenza di riferimenti espliciti a marchi conosciuti, rendendo più difficile per le vittime identificare la frode.

Formati e canali di diffusione

Il rapporto settimanale del CERT-AGID ha rivelato l’impiego di 10 diverse tipologie di file per la diffusione di contenuti dannosi.

Tra questi, il formato RAR è risultato il più utilizzato, coinvolto in 9 campagne malevole, seguito dal formato ZIP con 7 utilizzi.

File come GZ e APK sono stati sfruttati in 2 campagne ciascuno, mentre i formati JS, PS1, JAR, HTML, DOCX e BAT sono stati impiegati una sola volta.

Fonte: CERT-AGID

Le email continuano a rappresentare il principale canale di diffusione, essendo state utilizzate in 42 campagne malevole.

Gli SMS si sono confermati un vettore significativo, coinvolti in 6 campagne, mentre la Posta Elettronica Certificata (PEC), pur essendo impiegata in modo più mirato, è stata sfruttata in 5 attacchi.