Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 07-13 Ottobre

Report CERT 07-13 Ottobre: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili

I malware della settimana 07 – 13 Ottobre

La scorsa settimana il CERT-AgID ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano. 28 di queste hanno preso di mira obiettivi italiani, mentre 2 sono state campagne generiche ma veicolate anche in Italia.

Gli esperti del CERT hanno individuato, in diffusione, 6 famiglie malware. In dettaglio:

• Lokibot: gli attaccanti hanno diffuso Lokibot con due diverse campagne mirate contro utenti italiani. Le email veicolavano allegati RAR e XLS armati con l’exploit per la vulnerabilità CVE-2017-11882. I temi usati sono Pagamento e Banking. Per approfondire > Alert del CERT: è in corso in Italia l’ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro;
• DarkGate: in circolazione con due campagne mirate contro utenti italiani, contrastate dal CERT. Le email, a tema Resend, recano in corpo email un link che conduce al download di un file ZIP e MSI.
• Urnsif: torna di nuovo alla carica, presenza ormai immancabile. E’ diffuso con due campagne a tema Agenzia delle Entrate. Le email hanno un link che conduce al downloa di un file ZIP contenente un file URL che punta ad un servizio di sharing. Sul canale Telegram del CERT ulteriori info. Per approfondire > Ursnif Malware in Italia: l’analisi approfondita del CERT;
• Remcos in diffusione con una campagna generica. Le email veicolano allegati RAR dannosi.
• ScreenConnect torna in diffusione con una campagna italiana a tema Documenti. Le mail presentano allegati PDF contenenti link al download di un eseguibile ospitato su Dropbox. Per approfondire > ScreenConnect diffuso per accessi remoti illegittimi;
• Formbook: rilevato in diffusione con una campagna generica a tema Delivery. Le email veicolano allegati GZ. Per approfondire >  Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia.

Le campagne di phishing e i temi della settimana

I temi sfruttati dalle campagne di phishing sono state 11. Il CERT segnala poche differenze con la settimana precedente.

• Il tema bancario si conferma sul gradino più alto del podio come tema più sfruttato. Hanno tema afferente a questo campo le campagne di phishing e smishing rivolte a clienti di istituti bancari, ma anche la campagna malware volta a diffondere Lokibot ha usato questo tema.
• Prestazioni è il tema usato per la campagna via SMS INPS.
• Agenzia delle Entrate invece è il tema usato per diffondere Ursnif.

I brand coinvolti dalle campagne di attacco, loro malgrado, ammontano a 8 e interessano principalmente il settore bancario italiano. Aruba invece conta 4 diverse campagne che han sfruttato il suo brand. Di rilievo, sottolinea il CERT, la campagna via SMS contro utenti INPS.

Guide utili per rimanere al sicuro da attacchi malware e phishing

• Phishing: cosa è, come evitarlo e proteggere i dati
• Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Gli allegati email più usati per infettare Windows
• L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
• SOC – Security Operation Center: che cosa, perché, come