CERT-AGID 02 – 08 Marzo 2024: un’impennata di minacce porta a 234 indicatori di compromissione

Mar 11, 2024 Attacchi, Malware, Minacce, News, Phishing, RSS, Vulnerabilità

La settimana appena trascorsa ha messo a dura prova il CERT-AGID, che dal 2 all’8 marzo ha rilevato ed esaminato ben 25 attività dannose all’interno dei confini italiani, superando le 16 registrate la settimana precedente.

Di queste, 22 erano specificatamente dirette contro obiettivi italiani (contro le 12 della settimana anteriore), mentre le restanti 3, pur essendo di natura più generale, hanno interessato ugualmente l’Italia.

Come misura di contrasto a questi attacchi, il CERT-AGID ha fornito 234 indicatori di compromissione (IOC), segnando un significativo aumento dai 143 del periodo precedente. Di seguito, ecco una sintesi delle principali minacce.

Andamento settimanale

Durante l’ultima settimana, sono emersi 10 temi principali tramite i quali si sono diffuse operazioni malevole in Italia. Il comparto bancario è il più colpito, con 8 azioni che lo hanno reso il principale obiettivo di tentativi di phishing e smishing contro le banche del paese. Questo settore ha inoltre subito due aggressioni mirate a diffondere il malware Irata su dispositivi Android.

Segue il tema dei Rinnovi, con quattro azioni malevole, utilizzato prevalentemente nelle operazioni di phishing legate ad Aruba.

Gli Avvisi di Sicurezza, legati alla campagna di phishing Adattivo ulteriormente perfezionata, insieme ai temi Ordine e Prestazioni (legate alle campagne di smishing dell’INPS), Resend e Pagamenti, sono stati impiegati in due occasioni.

Infine, le tematiche Delivery, Contratti e Aggiornamenti hanno caratterizzato una singola campagna ciascuna.

Malware della settimana

Nell’ambito della sicurezza informatica italiana, questa settimana sono state particolarmente evidenti 6 distinte famiglie di malware che hanno portato avanti diverse campagne malevole.

In particolare, si sono distinte due campagne legate al malware Formbook, una specificamente italiana e l’altra di portata più ampia, incentrate sui temi “Pagamenti” e “Delivery”, veicolate attraverso email con allegati in formato RAR e R01.

Analogamente, AgentTesla è stato al centro di due operazioni, una mirata agli utenti italiani e l’altra di carattere generale, focalizzate rispettivamente su “Pagamenti” e “Ordine, e veicolate tramite email con allegati RAR e IMG.

Per quanto riguarda il malware Irata, sono state contrastate due iniziative a tema Banking, diffuse mediante SMS e contenenti link per il download di un APK dannoso.

Remcos ha fatto la sua comparsa in una campagna italiana legata a “Ordine”, diffusa attraverso email con allegati 7Z. Pikabot è stato identificato in un’azione italiana associata al tema “Resend”, mediante email con allegati ISO che nascondevano un file eseguibile EXE.

Infine, Wikiloader ha caratterizzato una campagna di ampio raggio sul tema “Pagamenti”, tramite email che includevano allegati PDF con link a file ZIP. Da questi, si estraeva un file JS che, a sua volta, rimandava a un file ZIP ospitato su Discord, dal quale si otteneva una DLL dannosa.

Phishing della settimana

Questa settimana, 11 brand sono stati coinvolti in campagne di phishing e smishing. Tra questi hanno suscitato particolare attenzione le operazioni riguardanti l’INPS e una campagna adattiva che ha visto un’ulteriore evoluzione.

I formati e i canali di diffusione

Nell’arco dell’ultima settimana, nove differenti tipologie di file sono state selezionate per veicolare attacchi informatici. I file RAR, PDF e APK sono stati impiegati due volte ciascuno, mentre formati quali 7Z, ISO, R01, IMG, ZIP e JS hanno trovato applicazione una singola volta ciascuno.

Riguardo ai canali di diffusione, due sono stati i metodi prevalenti: l’email ha avuto un ruolo predominante, venendo utilizzata in 19 occasioni, mentre gli SMS sono stati adoperati 6 volte.

• CERT-AGID, malware, Phishing, Smishing