In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 35 campagne malevole, di cui 16 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 357 indicatori di compromissione (IOC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 13 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Pagamenti – Tema utilizzato in campagne italiane volte a diffondere i malware Quasar RAT, SmokeLoader e Remcos, oltre ad alcune campagne di phishing, italiane e generiche, ai danni di utenti Netflix e Mailchimp.
2. Webmail – Argomento ricorrente nelle campagne di phishing generiche ai danni di utenti cPanel, oltre al phishing non brandizzato. Usato inoltre per una campagna di phishing italiana che ha preso di mira Roundcube.
3. Undelivered – Tema sfruttato per varie campagne di phishing, italiane e generiche, fra cui si segnalano quelle ai danni di Poste Italiane e di cPanel.
4. Ordine – Argomento utilizzato per veicolare i malware AgentTesla, Formbook e Guloader, oltre che per una campagna generica orientata ai clienti cPanel.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• È stata rilevata nel perimetro nazionale una nuova campagna massiva che sfrutta il trojan Quasar RAT, un evento insolito in Italia. Gli attaccanti stanno inviando email fraudolente con l’oggetto Pagamenti Fattura, per portare le vittime a scaricare un file eseguibile dannoso. Una volta lanciato, il malware compromette il sistema, permettendo ai criminali di ottenere il controllo remoto del dispositivo. Informazioni ulteriori sul nostro post Telegram.

Malware della settimana

Sono state individuate, nell’arco della settimana, 6 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevata una campagna italiana a tema “Ordine” e due campagne generiche a tema “Banking”, veicolate mediante email con allegati XLSX, XLAM e VBS.
2. Remcos – Individuata una campagna italiana a tema “Pagamenti” diffusa tramite email con allegato GZ, e una campagna generica a tema “Delivery” diffusa tramite email con allegato ZIP.
3. SmokeLoader – Rilevata una campagna italiana a tema “Pagamenti”, diffusa tramite email con allegato XLSX.
4. Quasar – Individuata una campagna italiana a tema “Pagamenti”, diffusa mediante email con allegato ZIP. Qui i dettagli.
5. FormBook – Scoperta una campagna generica che sfrutta il tema “Ordine” e veicolata tramite email con allegato ZIP.
6. Guloader – Rilevata infine una campagna italiana a tema “Ordine”, diffusa tramite email con allegato 7Z.

Phishing della settimana

Sono 12 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Poste Italiane, cPanel e Unieuro, ma ancor di più le campagne Webmail che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche