Report CERT 16-22 Settembre: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili

I malware della settimana 16-22 Settembre 2023

La scorsa settimana il CERT-AGiD ha individuato e analizzato, attive nello scenario italiano, un totale di 44 campagne dannose. Tra queste campagne, 39 hanno preso direttamente di mira gli obiettivi italiani, mentre 5 hanno avuto una circolazione generica ma hanno colpito anche utenti italiani.

Il report del CERT 16-22 Settembre riporta che sono ben 12 le famiglie malware diffuse la scorsa settimana nel cyber spazio italiano.

  • AgentTesla: il CERT ha individuato ben 5 campagne di diffusione di AgentTesla. Di queste 4 hanno preso di mira utenti italiani. Le email veicolavano allegato ZIP e XLAM ed hanno sfruttato i temi Ordine, Banking e Pagamenti. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
  • DarkGate è stato diffuso con due campagne veicolate tramite messaggi MS Teams. I messaggi, che sfruttano il tema Aggiornamenti, contengono il link al download di un file archivio ZIP contenente, a sua volta, un file LNK.
  • Formbook è stato diffuso con due campagne, una generica e una mirata. Le email, a tema Pagamenti e Ordine, veicolavano allegati ZIP e RAR. Per approfondire >  Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia.
  • Ursnif è stato rilevato in diffusione con due campagne mirate contro utenti italiani, a tema Pagamento e Documenti. Le email veicolavano allegati ZIP contenenti VBS oppure file URL per le connessioni SMB. Per approfondire > Ursnif: il trojan bancario più diffuso in Italia
  • AsyncRAT: il CERT ha contrastato una campagna mirata contro utenti italiani a tema Ordine. Le email veicolavano allegati dannosi ZIP.
  • Snake è stato distribuito con una sola campagna generica a tema Delivery. Le email veicolavano allegati in formato ZIP. Per approfondire > Snake Keylogger: anatomia dello spyware diffuso in Italia
  • ScreenConnect nuovamente in diffusione, come già aveva denunciato il CERT la scorsa settimana. La campagna, a tema Pagamenti, ha veicolato allegati email in formato PDF con un link che punta al download di file VBS.
  • Brata: diffuso con una campagna italiana a tema Banking via SMS. Il messaggio contiene il link al download di un file APK.
  • XWorm: distribuito con una campagna generica a tema Pagamenti. Le email veicolavano allegati CAB.
  • Remcos: individuato in diffusione con una campagna a tema Pagamenti. Il corpo dell’email vettore reca un link che punta al download di un file 7Z.
  • SmsSpy: diffuso con una campagna italiana a tema Banking, veicolata via SMS. L’SMS contiene il link al download di un file APK da un dominio creato appositamente.
  • Bitrat, rilevato in diffusione tramite una campagna a tema Documenti. Le email veicolano il più classico allegato XLS con macro.

Report CERT 16-22 Settembre: i malware in diffusione
Fonte: https://cert-agid.gov.it

Le campagne di phishing e i temi della settimana 09-15 Settembre 2023

I temi più sfruttati nel corso della scorsa settimana, sia per campagne di phishing che per veicolare malware sono:

  • Banking: nessuna novità, il tema bancario riconferma il suo primato, sia per le campagne di phishing che di smishing. I malware diffusi con questo tema sono Brata e SmsSpy per Android e AgentTesla.
  • Pagamenti: è stato usato principalmente per diffondere malware. In dettaglio, per la scorsa settimana, Formbook, Ursnif, AgentTesla, ScreemConnect, Remcos Xworm.
  • Ordine è stato il tema usato per diffondere AgentTesla, AsyncRAT e Formbook.
Report CERT 16-22 Settembre: i temi più sfruttati
Fonte: https://cert-agid.gov.it

I brand coinvolti nelle campagne dannose sono 8, Aruba, Poste e BNL i più sfruttati. La maggior parte dei brand comunque afferisce al settore bancario.

Report CERT 16-22 Settembre: i brand più sfruttati
Fonte: https://cert-agid.gov.it

Guide utili per rimanere al sicuro da attacchi malware e phishing