In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 18 con obiettivi italiani e 21 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 350 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 14 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Rinnovo – Tema sfruttato per diverse campagne italiane di phishing ai danni di Aruba e per alcune campagne generiche ai danni di Wix e AVG.
2. Aggiornamenti – Argomento utilizzato per una campagna generica di phishing ai danni di cPanel, nonché utilizzato per diffondere i malware LummaC e dcRat.
3. Pagamenti – Tema utilizzato per alcune campagne italiane di phishing ai danni di Aruba e WeTransfer. Inoltre, il tema è servito per veicolare i malware Remcos e WinVNCRat.
4. Avvisi sicurezza – Argomento sfruttato per diverse campagne italiane di phishing ai danni di PayPal e Zimbra e per campagne generiche ai danni di AVG e Roundcube.
5. Ordine – Tema sfruttato per veicolare diversi malware, fra cui AgentTesla, Remcos e Formbook.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Individuate nuove campagne di phishing che utilizzano un bot Telegram come centro di comando e controllo (C2), e che presentano una struttura simile ad altre campagne già analizzate. Ulteriori informazioni nel precedente post Telegram.
• Osservata una massiva campagna mirata a veicolare il malware AgentTesla attraverso email e link condivisi. Il file malevolo, presentato con diversi nomi come Enquiry.js e DHL-RECEIPT.js, è molto simile al dropper utilizzato in precedenza per propagare l’infostealer PXRECVOWEIWOEI già analizzato.

Malware della settimana

Sono state individuate, nell’arco della settimana, 8 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevate cinque campagne italiane e quattro campagne generiche che hanno sfruttato i temi “Documenti”, “Pagamenti”, “Preventivo”, “Ordine” e “Delivery”, diffuse mediante email con allegati BAT, JS, GZ, SCR, RAR e Z.
2. LummaC – Individuate tre campagne generiche a tema “Aggiornamenti”, diffuse tramite email con allegato EXE.
3. Remcos – Scoperte tre campagne generiche a tema “Documenti”, “Pagamenti” e “Ordine”, diffuse tramite email con allegati 7Z e tramite link LHZ.
4. dcRat – Individuate due campagne generiche “Aggiornamenti”, diffuse tramite email con allegato EXE.
5. Umbral – Rilevata una campagna generica veicolata tramite email con allegato EXE.
6. Irata – Scoperta una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
7. WinVNCRAT – Individuata una campagna italiana a tema “Pagamenti” diffusa tramite email con allegato ZIP.
8. FormBook – Rilevata infine una campagna italiana a tema “Ordine” e veicolata tramite email con allegato XZ.

Phishing della settimana

Sono 12 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, AVG, Poste Italiane e cPanel, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche