Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 23-29 Settembre 2023

Report CERT 23-29 Settembre: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili

I malware della settimana 23-29 Settembre

La scorsa settimana il CERT ha individuato e analizzato, attive nello scenario italiano, 35 campagne dannose. Tra queste, 32 hanno preso di mira direttamente utenti italiani mentre tre hanno avuto diffusione generica ma hanno colpito anche nel nostro cyber spazio. Gli esperti del CERT hanno individuato in diffusione ben 7 diverse famiglie malware. In dettaglio:

• AgenTesla: distribuito con 5 diverse campagne, 3 mirate contro utenti italiani e 2 generiche. Le campagne sono a tema Preventivo, Documenti e Pagamenti. Le email vettore veicolano allegati R15 o link con al download di una risorsa JS dannosa. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook: individuate 2 campagne di diffusione mirate contro utenti italiani. Gli attaccanti hanno scelto il tema Pagamenti, le email invece veicolano allegati XZ. Per approfondire >  Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia.
• SpyNote: distribuito con una campagna mirata a tema Banking. Prende di mira i dispositivi Android. La campagna utilizza SMS contenenti un link che conduce al download di due APK simili ma con server C&C differenti.
• Lokibot: gli esperti del CERT hanno individuato e contrastato una campagna di diffusione generica a tema Preventivo. Le email veicolano allegati RAR. Per approfondire > Alert del CERT: è in corso in Italia l’ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro;
• WarzoneRAT: individuata una campagna mirata contro utenti italiani a tema Documenti. Il rilevamento è avvenuto tramite fonti OSINT.
• Ursnif: il CERT ha rilevato molte campagne mirate contro utenti italiani a tema Agenzia delle Entrate. Le email veicolano allegati ZIP contenenti VBS dannosi oppure file URL che puntano a file raggiunbili su share pubbliche (SMB). Per approfondire > Ursnif Malware in Italia: l’analisi approfondita del CERT;
• Remcos: in diffusione con una sola campagna mirataa tema Delivery. Le email veicolano allegati ACE.

Le campagne di phishing e i temi della settimana 23-29 Settembre 2023

I temi scelti dagli attaccanti per le campagne dannose e di phishing ammontano a 10 diverse tipologie. Non ci sono grandi novità rispetto alle scorse settimane:

• Banking: il tema bancario resta quello più sfruttato dagli attaccanti, principalmente per campagne phishing e smishing rivolte a clienti di importanti istituti bancari italiani. Anche la campagna di diffusione di Spynote ha scelto questo tema.
• Pagamenti: questo tema è stato usato principalmente per la diffusione dei malware Formbook e AgenTesla.
• Documenti: anche in questo caso si parla di un tema usato principalmente per la diffusione di malware, in particolare AgenTesla e WarzoneRAT.

Riguardo ai brand sfruttati dagli attaccanti per le campagne di attacco, gli esperti del CERT ne hanno individuati 11. Poste Italiane, Intesa san Paolo e Widiba i brand più sfruttati. Importanti due campagne di smishing rivolte contro utenti INPS per rubare documenti di identità e gli estremi della carta di credito.

Guide utili per rimanere al sicuro da attacchi malware e phishing

• Phishing: cosa è, come evitarlo e proteggere i dati
• Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Gli allegati email più usati per infettare Windows
• L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
• SOC – Security Operation Center: che cosa, perché, come