Report CERT 13-19 Gennaio 2024: quali campagne malevole girano nel panorama italiano? Nel report del CERT tutte le info utili
I malware della settimana 13-19 Gennaio 2024
La scorsa settimana, il CERT AgID ha individuato ed analizzato 17 campagne dannose nello scenario italiano di suo riferimento. Tra queste, 12 hanno preso di mira direttamente utenti italiani, mentre le restanti 5 sono state di natura generica, coinvolgendo comunque anche utenti italiani. Questa situazione sottolinea l’importanza di un’azione tempestiva per affrontare e mitigare le minacce informatiche nel contesto nazionale.
Il report del CERT 13-19 Gennaio riporta che gli esperti hanno individuato 6 famiglie malware in diffusione. In particolare parliamo di:
- AgentTesla: il CERT ha individuato 2 campagne di diffusione di AgentTesla, 1 italiana e 1 generica, entrambe a tema Ordine. Veicolavano allegati IMG e ARJ. Nella campagna italiana è stato usato Guloader per il rilascio di AgentTesla. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
- Wikiloader: diffusa tramite email una campagna generica a tema Pagamenti. Gli allegati in file PDF contenevano link ad un archivio ZIP contenente, a sua volta, un file JS dannoso.
- Unknown: il CERT ha contrastato una campagna dannosa rivolta contro utenti italiani a tema Pagamenti. Le email veicolavano un link che reindirizzava al download di un EXE hostato su dominio italiano. Il malware veicolato non è ancora stato individuato in ogni caso lancia ed esegue UltraVNC, tool per la gestione remota dei sistemi Windows.
- Formbook: diffuso con una campagna generica a tema Hotel. Le email veicolavano allegati RAR. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
- Remcos: rilevata una campagna generica a tema Pagamenti. Le email veicolavano allegati XLS. Per approfondire > Remcos: il software legittimo diffuso in Italia come RAT;
- Irata: hanno rilevato una campagna italiana a tema Banking, diffusa tramite SMS. Il messaggio conteneva un link per scaricare un APK dannoso e mirava a compromettere i dispositivi Android.
WikiLoader in breve
WikiLoader è un downloader piuttosto sofisticato, il cui scopo è quello di installare altri payload dannosi pensato per eludere i servizi di sicurezza e l’analisi da parte dei ricercatori di sicurezza grazie a tecniche avanzate di evasione dei controlli.
Le campagne di phishing e i temi della settimana 13-19 Gennaio 2024
Le campagne malware e phishing hanno coinvolto 7 diversi brand. Tra questi, per la maggior parte riconducibili al settore bancario italiano, sono: Poste, Intesa San Paolo, Che Banca, Inps, Outlook e Verti.
I temi più sfruttati nel corso della scorsa settimana, che riguardano sia le campagne di phishing che malware, sono:
- Banking: tema utilizzato principalmente per le campagne di phishing e smishing rivolte a clienti di istituti bancari italiani e, oltre a ciò, per una campagna malware volta a distribuire Irata.
- Pagamenti: tema usato la scorsa settimana principalmente per diffondere malware, in dettaglio Wikiloader e Remcos. Nella scorsa settimana, le minacce informatiche hanno riguardato Wikiloader e Remcos. In particolare, è stato rilevato l’utilizzo di un malware sconosciuto che sfrutta UltraVNC ed è stato veicolato attraverso un dominio italiano.
- Ordine: tema sfruttato per campagne malware Agent Tesla.
I temi rimanenti sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.
Guide utili per rimanere al sicuro da attacchi malware e phishing
- Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
- Gli allegati email più usati per infettare Windows
- L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
- SOC – Security Operation Center: che cosa, perché, come
