In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 20 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 475 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento del mese di settembre

I temi più rilevanti della settimana

Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema ricorrente nelle campagne di smishing rivolte principalmente a clienti di istituti bancari italiani e non, come Intesa Sanpaolo, Credit Agricole e BPER.
2. Delivery – Tema utilizzato per diffondere i malware AgentTesla e FormBook.
3. Preventivo – Argomento utilizzato per veicolare numerosi malware, fra cui Formbook, VIPKeylogger e SnakeKeylogger.
4. Pagamenti – Tema utilizzato per veicolare i malware Formbook, VIPKeylogger e Vidar.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Individuata una nuova campagna malevola tramite PEC mirata a diffondere il malware Vidar, veicolata tramite email fraudolente inviate da caselle compromesse che richiedono il pagamento di una falsa fattura insoluta. Distinguendosi dalla precedenti campagne, gli attaccanti hanno fatto anche uso di profili Telegram per riportare gli indirizzi IP dei server di comando e controllo (C2).
• Nuove campagne di phishing INPS finalizzate alla raccolta di dati personali, diffuse tramite email che informano il destinatario della possibilità di usufruire di un presunto rimborso e richiedono di compilare un modulo per completare l’erogazione.

Malware della settimana

Sono state individuate, nell’arco della settimana, 8 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Individuate tre campagne italiane a tema “Ordine” e “Documenti” e diverse campagne generiche a tema “Delivery”, “Documenti” e “Avvisi sicurezza”, veicolate tramite email con allegati IMG, ISO, RAR, VBS, ZIP.
2. FormBook – Rilevate due campagne italiane a tema “Pagamenti” e “Delivery” e una campagna generica a tema “Preventivo”, diffuse tramite email con allegati RAR e ZIP.
3. VIPKeylogger – Individuate due campagne italiane a tema “Pagamenti” e “Preventivo”, diffuse tramite email con allegati IMG e ZIP.
4. ZharkBot – Scoperta una campagna italiana a tema “Ordine” diffusa tramite email con allegati HTML e VBS.
5. Umbral – Individuata una campagna generica a tema “Aggiornamenti”, veicolata tramite email e di cui è stato analizzato un eseguibile del payload (EXE).
6. SnakeKeylogger – Rilevata una campagna generica a tema “Preventivo”, diffusa mediante email e di cui è stato analizzato un eseguibile (EXE).
7. Vidar – Individuata una campagna italiana a tema “Pagamenti”, veicolata tramite PEC con link a file JS.
8. njRAT – Scoperta infine una campagna generica diffusa tramite email con allegato JAR.

Phishing della settimana

Sono 15 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Intesa SanPaolo, Microsoft e INPS, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche