Report CERT 15 – 21 Giugno 2024: quali campagne malevole girano nel panorama italiano? Nel report del CERT tutte le info utili
I malware della settimana 15 – 21 Giugno 2024
Durante la settimana 15 – 21 Giugno 2024, il CERT-AGID ha riscontrato in totale ben 48 campagne malevole nel panorama italiano di suo riferimento. Tra queste, 36 avevano obiettivi italiani e 12 generiche, che hanno però riguardato anche l’Italia.
Il Report segnala che le famiglie malware in diffusione sono 5. In particolare troviamo:
- FormBook: osservate 7 campagne che hanno usato vari temi per veicolare email con allegati RAR, IZH, DOCX, XLS e R01. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia.
- AgentTesla: il CERT ha rilevato 5 campagne, tra cui 3 italiane e 2 generiche. Le campagne sono state diffuse via email con allegati GZ, RAR e IMG. I temi sfruttati sono stati DeliveRy, Pagamenti, Ordine e Banca BBVA. Per approfondire > Anatomia di Agent Tesla, lo spyware più diffuso in Italia nel 2023.
- DanaBot: sono state individuate 2 campagne diffuse via email con allegato ZIP. La mail malevola segnala un’irregolarità nel quadro RW della dichiarazione dei redditi. Un archivio ZIP, protetto da una password indicata nel testo della mail, contiene un file HTML che, se aperto da un IP presente in una blocklist, mostra insulti in lingua italiana. Il file HTML rimanda a una falsa pagina dell’Agenzia delle Entrate, dalla quale parte automaticamente il download di un file JavaScript. Questo JavaScript effettua una richiesta HTTP GET, e il contenuto della risposta viene utilizzato per creare un file EXE, che rappresenta il malware finale DanaBot. Per approfondire > Il malware bancario Danabot torna in Italia e prende di mira i clienti di 20 istituti bancari italiani.
- KoiStealer: osservata una campagna che rilascia il payload iniziale sfruttando un dominio italiano. La catena per distribuire il malware è la seguente: LNK > ZIP > JS > PS1.
- Strela: Il CERT ha rilevato una campagna a tema Pagamenti che, via email, distribuisce malware con allegato ZIP e che contiene al suo interno un file JS. Per approfondire > StrelaStealer: lo spyware che deruba Outlook e Thunderbird arriva in Italia
Le campagne di phishing e i temi della settimana 15 – 21 Giugno 2024
Nel Report CERT-AGID della settimana 15 – 21 Giugno 2024 le campagne di phishing hanno coinvolto 13 diversi brand. Ad attirare l’attenzione sono le campagne Aruba e Intesa San Paolo, così come le campagne di phishing e smishing a tema INPS e le campagne di phishing Agenzia delle Entrate e della Corte Suprema di Cassazione.
I temi più sfruttati nel corso della settimana 15 – 21 Giugno sono stati 20. I principali sono stati:
- Banking: argomento costante nelle campagne di phishing rivolte a clienti di banche italiane come Poste Italiane, Intesa San Paolo e Unicredit, ma anche servizi di pagamento (ad esempio Paypal). E’ stato usato anche per veicolare FormBook con allegati spacciati per documentazione inviata da Intesa San Paolo.
- Rinnovo: tema usato per le campagne di phishing Aruba e McAfee.
- Agenzia delle Entrate: argomento sfruttato per diffondere campagne di phishing destinate al furto di credenziali.
Guide utili per rimanere al sicuro da attacchi malware e phishing
- Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
- Gli allegati email più usati per infettare Windows
- L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
- SOC – Security Operation Center: che cosa, perché, come
