Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 11 – 17 Febbraio
La scorsa settimana il CERT-AgID ha individuato e analizzato 26 campagne dannose nel cyber spazio italiano. Queste campagne sono state tutte mirate contro utenti italiani, mentre una sola è stata generica ma ha riguardato comunque l’Italia.
Le famiglie malware in diffusione sono state 4, distribuie in 9 diverse campagne. Ecco il dettaglio:
- Formbook è il malware più diffuso. Quattro sono state le campagne di distribuzione, a tema Premi, Pagamenti e Ordine. Le email veicolavano allegati XLS che sfruttano una vecchissima falla (la CVE.2017.11882 di Equation Editor) e allegati RAR (r00, r15, r17 ecc…). Le campagne fanno uso dei loader Guloader e XLoader. Sul canale Telegram del CERT, dettagli e IoC. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
- AgentTesla è stato in diffusione con due diverse campagne mirate. Una a tema Preventivo e l’altra a tema Pagamenti. Anche in questo caso, il CERT registra l’uso del loader Guloader. Le email veicolavano allegati dannosi VBS. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
- Snake Keylogger torna in diffusione con una campagna identica a quella della scorsa settimana. La differenza è che invece di usare il tema “Università di Parma” questa volta ha sfruttato il nome dell’Università di Bologna. Il CERT ha pubblicato uno specifico report su questa minaccia;
- Qakbot è stato in diffusione con una campagna a tema resend. Le email veicolavano allegati archivio ZIP contenenti file WSF. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l’Italia;
Le campagne di phishing e i temi della settimana 11 – 17 Febbraio
Le campagne di phishing individuate sono state 17 ed hanno coinvolto 8 brand. Il brand più colpito è stato Aruba, che ha visto il proprio nome sfruttato in ben 6 diverse campagne di phishing. Al secondo e terzo posto, tra i brand più colpiti, troviamo come da consuetudine due istituti bancari: Intesa San Paolo e BPM. Altre campagne di phishing hanno preso di mira clienti Serverplan, Office 365 e Seeweb.
Un pò più di attenzione merita l’ennesima campagna di phishing che ha imitato comunicazioni ufficiali dell’Agenzia della Entrate.
I temi più sfruttati, invece, sono piuttosto ovvi:
- Banking è il tema usato esclusivamente per le campagne di phishing e smishing mirate contro utenti italiani.
- Pagamenti è il tema usato per veicolare Formbook, AgentTesla e Snake Keylogger.
- Rinnovo è il tema usato per le campagne di phishing Aruba e Seeweb.
