In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 49 campagne malevole, di cui 27 con obiettivi italiani e 22 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 362 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 18 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Pagamenti – Tema utilizzato per alcune campagne di phishing generiche ai danni di Adobe Cloud e OVHcloud. Inoltre, il tema è servito per alcune campagne malware, sia italiane che generiche, veicolanti SnakeKeylogger, VipKeylogger, Remcos, XWorm e Formbook.
2. Banking – Tema ricorrente nelle campagne di phishing e smishing rivolte principalmente a clienti di istituti bancari italiani e non, come Poste italiane, Intesa Sanpaolo e Banco Desio. Usato inoltre per campagne italiane che veicolano i malware Spynote e Remcos.
3. Documenti – Tema sfruttato per campagne italiane di phishing ai danni di Webmail generiche, nonché utilizzato per diffondere i malware Remcos e AgentTesla.
4. Undelivered – Argomento utilizzato per diverse campagne di phishing ai danni di Norton e Webmail generiche, oltre a una campagna generica che veicola il malware FormBook.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Nuova campagna di phishing ai danni di clienti di Intesa SanPaolo, veicolata tramite email fraudolente inviate da caselle PEC compromesse. La campagna è stata contrastata con il supporto dei gestori PEC.
• Fortinet ha condiviso una vulnerabilità in FortiManager che permette ad attaccanti remoti di eseguire codice senza autenticazione sfruttando il daemon fgfmsd. La falla è stata già utilizzata attivamente per compromettere sistemi. Il CERT-AGID ha diramato gli indicatori relativi agli attacchi in corso, probabilmente perpetrati dal gruppo UNC5820.

Malware della settimana

Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Rilevate una campagna italiana a tema “Pagamenti”, veicolata tramite email con allegato VBS, e due campagne generiche a tema “Acquisti” e “Undelivered”, veicolate tramite email con allegati ZIP e RAR.
2. Remcos – Individuate una campagna italiana a tema “Banking”, veicolata tramite email con allegeto PDF, e due campagne generiche a tema “Documenti” e “Pagamenti”, veicolate tramite email con allegati 7Z, BAT e DOCX.
3. Snake Keylogger – Individuate due campagne italiane a tema “Pagamenti” e una campagna italiana a tema “Delivery”, diffuse tramite email con allegati LHZ, UEE e ZIP.
4. SpyNote – Scoperte tre campagna italiane che sfruttano il tema “Banking” e veicolano l’APK malevolo tramite SMS.
5. Guloader – Individuate una campagna italiana a tema “Documenti” e una campagna generica a tema “Preventivo” diffuse tramite email con allegati VBS e 7Z.
6. AgentTesla – Rilevata una campagna italiana a tema “Documenti” diffusa tramite email con allegato ISO.
7. njRAT – Rilevata una campagna italiana a tema “Delivery” diffusa tramite email con allegato VBS.
8. VIPKeylogger – Scoperta una campagna italiana a tema “Pagamenti” veicolata tramite email con allegato ISO.
9. Azorult – Individuata una campagna generica a tema “Acquisti” veicolata tramite email con allegato RAR.
10. FortiJump – Diramati gli indicatori relativi agli attacchi in corso, perpetrati dal gruppo UNC5820, che sfruttano la vulnerabilità CVE-2024-47575 degli apparati FortiManager.
11. XWorm – Rilevata infine una campagna italiana a tema “Pagamenti” veicolata tramite email con allegato ZIP.

Phishing della settimana

Sono 17 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Adobe, Intesa Sanpaolo, Poste Italiane e Aruba, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche