In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 43 campagne malevole, di cui 25 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 523 indicatori di compromissione (IOC) individuati.

Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema ricorrente nelle campagne di phishing rivolte principalmente a clienti di istituti bancari italiani e non, come BNL, BPM e BBVA. Usato inoltre per veicolare i malware Irata, AzraelBot e SpyNote inviati alle vittime come file apk tramite SMS, oltre al malware AsyncRat inviato tramite email.
2. Avvisi sicurezza – Argomento sfruttato per diverse campagne di phishing ai danni di utenti di Poste Italiane, Aruba, McAfee, e Google.
3. Pagamenti – Tema utilizzato per alcune campagne di phishing ai danni di Enel e FatturaPA. Inoltre, il tema è servito per veicolare i malware AgentTesla, Guloader e Lokibot.
4. Delivery – Argomento sfruttato per campagne italiane di phishing ai danni di Poste Italiane e FedEx.
5. Documenti – Tema utilizzato per veicolare campagne di phishing non brandizzate di generiche Webmail e sfruttate per diffondere il malware Formbook.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Campagna di phishing italiana ben strutturata ai danni di INPS, sfruttata per raccogliere dati personali, come dati anagrafici, codice fiscale, documenti di riconoscimento e busta paga. Il numero di documenti rubati al momento supera le 300 unità.
• Data breach Telegram attraverso il quale sono state rese disponibili combolist contenenti quasi 40 mila credenziali (mail e password) di utenti italiani.

Malware della settimana

Sono state individuate, nell’arco della settimana, 9 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Irata – Scoperte 3 campagne italiane che veicolano l’APK malevolo tramite SMS.
2. AgentTesla – Rilevata una campagna italiana a tema “Pagamenti”, diffusa mediante email con allegato ZIP, e 2 campagne generiche a tema “File sharing”, diffuse tramite email con allegati RAR.
3. FormBook – Individuata una campagna italiana che ha sfruttato il tema “Rimborso” e veicolata tramite email con allegato ZIP, oltre a 2 campagne generiche a tema “Documenti” e “Ordine”, veicolate tramite email con allegati RAR e DOC.
4. AsyncRat – Osservata una campagna generica a tema “Banking” che veicola un malware tramite email con allegato LNK.
5. SpyNote – Individuata una campagna italiana a tema “Banking“, veicolata tramite SMS con link che conduce al download di un file APK.
6. Guloader – Rilevata una campagna italiana a tema “Banking” che invia il malware tramite mail con allegato VBS.
7. Ousaban – Osservata una campagna italiana a tema “Legale” veicolata tramite email con allegato PDF.
8. XWorm – Rilevata una campagna generica a tema “Contratti” diffusa tramite mail con allegato GZ.
9. Lokibot – Individuata, infine, una campagna italiana a tema “Pagamenti” veicolata tramite mail con allegato ZIP.

Phishing della settimana

Sono 18 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Poste Italiane, Agenzia delle Entrante, FedEx, e Google, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche