CERT-AGID 25 – 31 Maggio 2024: 392 indicatori di compromissione e le minacce di AgentTesla e XWorm

Giu 03, 2024 Attacchi, Intrusione, Malware, Minacce, News, Phishing

Questa settimana, il CERT-AGID ha identificato e analizzato un totale di 43 campagne malevole nello scenario italiano di sua competenza, di cui 33 mirate specificamente a obiettivi italiani e 10 di natura generica che hanno comunque interessato l’Italia. Ha inoltre fornito ai suoi enti accreditati i 392 indicatori di compromissione (IOC) rilevati.

I temi più rilevanti della settimana

Questa settimana sono stati sfruttati 15 temi per condurre campagne malevole sul territorio italiano. In particolare si evidenzia il tema Banking, frequentemente utilizzato nelle campagne di phishing e smishing mirate principalmente ai clienti degli istituti bancari italiani. È stato impiegato anche per distribuire il malware Irata, destinato a compromettere dispositivi Android.

Immancabili i temi dei Pagamenti, argomento sfruttato per diffondere i malware AgentTesla e XWorm, oltre che per alcune campagne di phishing. E quello delle Erogazioni, utilizzato esclusivamente nelle campagne di smishing dell’INPS.

Tra gli eventi di particolare interesse segnaliamo che per la seconda settimana consecutiva sono state rilevate campagne XWorm con allegati ZIP contenenti file LNK o URL come vettori iniziali di compromissione. In alcuni casi sono state utilizzate connessioni SMB per scaricare ulteriori script che hanno condotto al malware finale.

Infine, è stata rilevata una pagina di phishing volta a sottrarre le credenziali PEC agli utenti Legalmail, caricata su un dominio francese utilizzato anche per altre attività di phishing.

Malware della settimana

Nello scenario italiano sono state osservate sei famiglie di malware. Di particolare rilievo questa settimana, si segnalano le minacce di AgentTesla, con otto campagne identificate, di cui cinque italiane e tre generiche, a tema “Acquisti”, “Pagamenti”, “Preventivo” e “Ordine”, veicolate tramite email con allegati IMG, ZIP, 7Z, BAT e VBE.

Formbook è stato rilevato in due campagne, una italiana e una generica, rispettivamente a tema “Delivery” e “Preventivo”, diffuse tramite email con allegati RAR.

Irata è stato contrastato in due campagne diffuse tramite SMS con link al download di file APK, destinate a compromettere i dispositivi Android. Guloader ha invece visto 1 campagna italiana a tema “Contratti” veicolata tramite email con allegati IMG.

Troviamo poi il succitato XWorm, con una campagna italiana a tema “Pagamenti” diffusa tramite email con allegati ZIP contenenti file LNK; e DarkGate, con una campagna generica a tema “Documenti”, veicolata tramite email con allegato un archivio ZIP contenente file URL.

Phishing della settimana

Questa settimana sono stati coinvolti 14 brand nelle campagne di phishing e smishing. Di particolare rilievo sono state le numerose campagne di smishing dell’INPS, mirate a sottrarre documenti d’dentità col pretesto di erogare bonus, seguite dalle campagne di phishing di Aruba, che hanno sfruttato il tema del mancato rinnovo del dominio.

Formati e canali di diffusione

Per veicolare gli attacchi nell’ultima settimana sono stati usati 12 diversi tipi di file. I più gettonati sono stati gli ZIP, ben quattro volte. A quota tre troviamo i file IMG, e a due i BAT, EXE e APK. Sono stati utilizzati una volta sola invece i file HTA, LNK, RAR, 7Z, VBE, PS1 e URL.

Quanto ai canali di diffusione, le email sono state utilizzate 34 volte, mentre gli SMS 8 volte e la PEC 1 volta.

• CERT-AGID, malware, Phishing, Smishing