In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 38 campagne malevole, di cui 21 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 578 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento del mese di novembre

I temi più rilevanti della settimana

Sono 15 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Pagamenti – Argomento utilizzato per una campagna italiana volta alla diffusione del malware Rhadamanthys e per diverse campagne FormBook generiche.
2. Banking – Tema ricorrente nelle campagne di phishing rivolte principalmente a clienti di istituti finanziari italiani e non, come American Express, Intesa Sanpaolo e Coinbase. Usato inoltre per una campagna italiana finalizzata a distribuire il malware Copybara tramite SMS con link a file APK.
3. Legale – Argomento sfruttato per due campagne italiane e due generiche tutte servite per veicolare il malware AsyncRAT.
4. Documenti – Tema utilizzato per veicolare i malware SMSSpy e DBatLoader, oltre ad una campagna generica di phishing ai danni di utenti DocuSign.
5. Erogazioni – Argomento utilizzato per numerose campagne di smishing ai danni di utenti INPS.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Il CERT-AGID ha riscontrato un incremento nell’utilizzo delle caselle PEC per la diffusione di campagne malevole. Gli attacchi sfruttano la fiducia riposta nella posta certificata per veicolare link a pagine di phishing con lo scopo di sottrarre dati sensibili agli utenti. Questa settimana spiccano per quantità le campagne che sfruttano nome e logo di Intesa SanPaolo.
• Si intensificano le campagne di smishing ai danni di INPS. Attraverso un SMS fraudolento che simula una comunicazione urgente da parte dell’ente previdenziale, le vittime vengono indirizzate a una pagina web che replica il portale ufficiale dell’INPS. Su questa falsa piattaforma, gli utenti sono indotti a caricare copie di documenti sensibili, tra cui documenti di identità, patente, tessera sanitaria e buste paga.

Malware della settimana

Sono state individuate, nell’arco della settimana, 13 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AsyncRAT – Scoperte diverse campagne italiane e generiche a tema “Legale”, diffuse tramite email con allegati e link a file BAT e ZIP.
2. FormBook – Rilevate tre campagne generiche a tema “Pagamenti” e veicolate tramite email con allegati ZIP e RAR.
3. Remcos – Individuate due campagne italiane a tema “Fattura”, diffuse tramite email contenenti link a file VBS.
4. VIPKeylogger – Scoperta una campagna generica con argomento “Preventivo”, diffusa tramite email con allegato ZIP
5. Rhadamanthys – Individuata una campagna italiana a tema “Pagamenti” veicolata tramite email con allegato PDF, contenente a sua volta link a file malevoli.
6. SMSSpy – Individuata una campagna generica che sfrutta il tema “Pagamenti” e veicola l’APK malevolo tramite SMS.
7. MassLogger – Rilevata una campagna generica a tema “Preventivo”, veicolata tramite email con allegati ZIP e GZ.
8. DBatLoader – Scoperta una campagna italiana a tema “Documenti”, diffusa mediante email con allegato ZIP.
9. SpyNote – Individuata una campagna italiana che sfrutta il tema “Avvisi sicurezza” e veicola l’APK malevolo tramite SMS.
10. AgentTesla – Rilevata una campagna generica a tema “Ordine”, diffusa mediante email con allegato TAR.
11. Copybara – Individuata una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
12. Gamaredon – Scoperta una campagna generica diffusa tramite email con allegato LNK.
13. Artemis – Individuata una campagna generica diffusa tramite email con allegato RAR.

Phishing della settimana

Sono 15 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema INPS e Aruba.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche