In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 464 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 11 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato principalmente per le campagne di phishing e smishing rivolte a clienti di istituti bancari di matrice italiana e per una campagna malware SpyNote avente come obiettivo quello di compromettere i dispositivi Android di vittime italiane.
2. Pagamenti e Ordine– temi sfruttati rispettivamente per le campagne malware AgentTesla, Formbook e Remcos, Xworm, Avemaria.
3. Agenzia Entrate – argomento utilizzato per le campagne massive volte a diffondere i malware Remcos e SystemBC.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Approfondimenti della settimana:

1. Campagna di Phishing Agenzia Entrate e Riscossione
2. Le recenti sanzioni finanziarie dell’UE hanno costretto il gruppo Ursnif a cambiare strategia?
3. Da malware infostealer, quale è Ursnif, ad applicazioni come Remcos e SystemBC ideati per il controllo remoto dei sistemi compromessi

Malware della settimana

Sono state osservate nello scenario italiano 8 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. AgentTesla – Rilevate tre campagne, di cui due italiane ed una generica, a tema “Pagamenti“, veicolate tramite email con allegati 7Z, XLS o PDF con link a file JS.
2. Formbook – Individuate tre campagne, di cui due generiche ed una italiana, a tema “Pagamenti“, “Preventivi” e “Ordine”, veicolate tramite email con allegati RAR, XZ e 7Z. In un caso è stato riscontrato l’uso di un eseguibile con il payload di Guloader.
3. Remcos – Contrastate tre campagne, una generica a tema “Ordine” e due italiane, diffuse massivamente sfruttando il tema “Agenzia Entrate“ e link al download di file ZIP. I dettagli ed i relativi indicatori sono stati riportati in un apposito avviso pubblico.
4. XWorm – Individuata una campagna italiana a tema “Ordine”, diffusa tramite email con allegati 7Z contenenti file VBS e loader CodigoLoader.
5. Avemaria – Rilevata una campagna italiana a tema “Ordine”, diffusa tramite email con allegati JS e loader CodigoLoader.
6. SystemBC – Contrastata una campagna italiana, diffusa massivamente sfruttando il tema “Agenzia Entrate” e – come per Remcos – contenente un link a file ZIP. I dettagli ed i relativi indicatori sono stati riportati in un apposito avviso pubblico.
7. Pikabot – Osservata una campagna italiana a tema “Resend” diffusa tramite email con link a ZIP contenenti JS malevoli.
8. SpyNote – Contrastata una campagna italiana a tema “Banking“ veicolate tramite SMS con link che puntano al download di un file APK.

Phishing della settimana

Sono 10 i brand coinvolti che interessano principalmente il settore bancario italiano. Una relativa allo smishing ai danni di utenti INPS volta a sottrarre documenti di identità delle vittime ed una di particolare interesse che sfrutta loghi e comunicazioni di Agenzia delle Entrate e Riscossione e per la quale è stato rilasciato un approfondimento in un apposito avviso pubblico.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche