In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 55 campagne malevole, di cui 41 con obiettivi italiani e 14 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1686 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 21 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Documenti – Tema sfruttato per diverse campagne di phishing, italiane e generiche, ai danni di Microsoft, OneDrive e DocuSign, nonché utilizzato per diffondere i malware LummaStealer e AgentTesla.
2. Banking – Tema ricorrente nelle campagne di phishing e smishing rivolte principalmente a clienti di istituti bancari italiani e non, come Poste italiane, Intesa Sanpaolo e Unicredit. Usato inoltre per veicolare i malware Remcos e Copybara.
3. Vincita – Argomento utilizzato per diverse campagne di phishing italiane ai danni di Vodafone, Douglas, Sephora, Decathlon e Telepass.
4. Pagamenti – Tema utilizzato per alcune campagne di phishing ai danni di vari utenti. Inoltre, il tema è servito per veicolare i malware Remcos, XWorm e Vidar
5. Rinnovo – Argomento sfruttato per campagne italiane di phishing ai danni di Aruba e OVHcloud.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Il malware Vidar torna a impattare il panorama italiano attraverso caselle PEC compromesse. Questa volta il malware evolve con nuove strategie di diversificazione dei domini: ne vengono impiegati oltre 100 distinti, ciascuno utilizzato per generare dinamicamente migliaia di sottodomini sfruttati come punti di distribuzione per il download dei file malevoli.
• Si intensifica l’utilizzo di bot Telegram come C2 per la raccolta e trasmissione di dati rubati. il CERT-AGID ha rilevato una nuova campagna di phishing che sfrutta GitHub Pages per ospitare moduli di login falsi a tema cPanel.

Malware della settimana

Sono state individuate, nell’arco della settimana, 9 famiglie di malware che hanno interessato l’Italia.
Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Remcos – Rilevate diverse campagne italiane a tema “Banking”, “Pagamenti”, “Legale” e “Preventivo”, diffuse mediante email con allegati ZIP e IMG.
2. XWorm – Scoperte due campagne italiane a tema “Pagamenti”, veicolate tramite email con allegato ZIP.
3. AgentTesla – Individuata una campagna italiana a tema “Pagamenti”, diffusa tramite email con allegato IMG.
4. LummaStealer – Rilevata una campagna italiana a tema “Documenti”, diffusa tramite email con allegato ZIP.
5. DanaBot – Scoperta una campagna italiana a tema “Documenti”, diffusa tramite link malevoli a file MSI.
6. FormBook – Rilevate due campagna generiche a tema “Preventivo” e “Partnership”, veicolate tramite email con allegati LZH e ZIP.
7. AsyncRAT – Individuata una campagna generica a tema “Documenti”, diffusa tramite email con allegati ZIP, RAR e PDF.
8. Vidar – Rilevata una campagna italiana a tema “Pagamenti”, veicolata tramite email provenienti da caselle PEC compromesse con allegato VBS.
9. Copybara – Scoperta infine una campagna italiana a tema “Banking”, diffusa tramite SMS contenti link a file APK.

Phishing della settimana

Sono 23 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, DocuSign e Micosoft, ma ancor di più le campagne ad argomento Webmail che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche