Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 04-10 Novembre

Report CERT 04-10 Novembre: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili

I malware della settimana 04-10 Novembre

La scorsa settimana il CERT-AGID ha individuato e analizzato, attive nello scenario italiano, 34 campagne dannose. 31 di queste hanno colpito obiettivi italiani, mentre 3 sono state generiche ma hanno riguardato il nostro cyber spazio.

Gli esperti del CERT hanno individuato, in diffusione, 5 famiglie malware. In dettaglio:

• AgenTesla torna “col botto” con 4 diverse campagne tutte mirate contro utenti italiani. Ha sfruttato i temi Ordine, Contratti e Pagamenti. Le email veicolano allegati dannosi ZIP, LZH o R00 a loro volta contenenti file VSB o JS. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia.
• Pikabot è stato distribuito con 3 diverse campagne a tema Resend. Le email veicolano allegati ZIP contenenti file JS dannosi o allegati REV armati con l’exploit per la CVE-2023-3883.
• Spynote ancora in diffusione con 3 campagne (contrastate) a tema Banking veicolate via SMS. I link contenuti nell’SMS puntano al download di un file APK. Per approfondire > SpyNote: lo spyware per Android che ama l’Italia.
• Remcos torna in diffusione con una campagna generica a tema Pagamenti. Le email veicolano allegati 7z.
• Formbook è stato distribuito con una campagna generica a tema Pagamenti. Le email veicolano allegati RAR che contengono, a loro volta, un eseguibile con il payload di Guloader. Per approfondire >  Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia.

Il trojan Pikabot in breve:

Pikabot è un trojan modulare composto da un loader e un modulo centrale. Obiettivo principale del malware è quello di creare backdoor entro i sistemi violati. Questo garantisce agli attaccanti l’accesso remoto non autorizzato ai dispositivi. E’ dotato di funzionalità che verificano il sistema nel quale Pikabot si esegue: nel caso in cui uno dei test fallisce, il trojan si arresta così da rendere complesso, per i ricercatori di sicurezza, l’analisi del codice e delle funzionalità.

Le campagne di phishing e i temi della settimana 04-10 Novembre

I temi sfruttati per le campagne di phishing sono 9, i principali sono sempre gli stessi:

• Banking, sul gradino più alto del podio. E’ il tema più utilizzato per le campagne di phishing e smishing rivolte contro i clienti di istituti bancari italiani. Per le campagne malware il tema Banking è stato utilizzato per la diffusione del malware SpyNote verso utenti Android.
• Pagamenti è il tema utilizzato per le campagne di diffusione dei malware AgentTesla e Formbook.
• Resend è il tema prescelto per distribuire il malware Pikabot.

I brand coinvolti invece ammontano a 12: anche qui nessuna novità, il settore bancario rimane quello più colpito. Tornano, appuntamento ormai regolare, le campagne SMS contro gli utenti INSP finalizzati al furto di documenti di identità. Poste Italiane, Intesa San Paolo e BNL i brand più sfruttati.

Guide utili per rimanere al sicuro da attacchi malware e phishing

• Phishing: cosa è, come evitarlo e proteggere i dati
• Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Gli allegati email più usati per infettare Windows
• L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
• SOC – Security Operation Center: che cosa, perché, come