Report CERT 01-07 Luglio: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili.
I malware della settimana 01-07 Luglio
La scorsa settimana, il CERT ha individuato e analizzato oltre 23 campagne dannose: di queste 18 hanno preso di mira obiettivi italiani. Cinque invece sono state le campagne generiche ma che hanno interessato anche l’Italia. Le famiglie malware in diffusione ammontano a 5, con poche novità:
- AgentTesla è stato distribuito con quattro diverse campagne a tema Ordine, Delivery e Pagamenti. Le email veicolavano allegati IMG, DOC, DOCX, 7Z. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
- Formbook è stato distribuito con due campagne generiche a tema Ordine e pagamenti. Le email veicolavano allegati R01 e ZIP. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
- IceID è stato diffuso con una campagna italiana a tema Documenti, diffusa tramite email. Gli allegati ZIP contenevano il link ad un JS dannoso. Per saperne di più > IceId – un nuovo, sofisticato Trojan bancario: un’analisi tecnica dei Lab di sicurezza Quick Heal
- Vidar è stata in distribuzione co una campagna a tema Pagamenti veicolata tramite circuito PEC. Le caselle email mittenti usate dagli attaccanti risultano compromesse in fase precedente. Le email contenevano, in corpo messaggio, un link per scaricare un file ZIP contenente un VBS dannoso.
- Ursnif è stato rilevato in distribuzione con una campagna a tema Delivery. Le email veicolavano allegati PDF contenenti il link al download di un JS dannoso. Per saperne di più > Ursnif: il trojan bancario più diffuso in Italia.
Vidar in breve
Vidar è un malware mirato al furto di dati. Individuato per la prima volta alla fine del 2018, Vidar utilizza la formula del malware as a service (MaaS) con prezzi che oscillano tra i 120 gli 800 dollari circa. Pensato per Windows, Vidar raccoglie molte informazioni sensibili dai dispositivi infetti. Tra questi dati troviamo i dati del sistema operativo, le credenziali degli account, i dati della carta di credito, la cronologia di navigazione. Talvolta Vidar assume la funzione di downloader di altri malware dannosi (anche ransomware).
Le campagne di phishing e i temi della settimana 01-07 Luglio
Le campagne di phishing individuate e analizzate ammontano a 14, in diminuzione rispetto alla scorsa settimana. I brand sfruttati sono stati 8 ed interessano principalmente il settore bancario. Ma c’è anche un tema, “webmail generic” al secondo posto, forse perchè che in questo periodo c’è un certo interesse da parte degli attaccanti ad accumulare credenziali email. Tra tutte le campagne, il CERT punta l’attenzione su due campagne di smishing ai danni di utenti INPS.
I temi sfruttati per veicolare le campagne dannose ammontano a 9:
- banking è il tema usato per le campagne di phishing e smishing rivolte ai clienti di istituti bancari italiani;
- pagamenti è il tema usato per diffondere i malware AgentTesla, Vidar e Formbook;
- delivery è il tema usato per le campagne malware AgentTesla (DHL) e Ursnif (BRT).
Tipologia di file di attacco e vettore
Guide utili per rimanere al sicuro da attacchi malware e phishing
- Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
- Gli allegati email più usati per infettare Windows
- L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
- SOC – Security Operation Center: che cosa, perché, come
