Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 30 Settembre 6 Ottobre

Report CERT 30 Settembre 6 Ottobre: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili

I malware della settimana 30 Settembre 6 Ottobre

La scorsa settimana, il CERT ha individuato e analizzato, attive nel panorama italiano, 29 campagne dannose. Di queste, 25 hanno preso direttamente di mira utenti italiani, 4 invece sono state generiche ma sono circolate anche nel nostro cyberspazio.

Gli esperti del CERT hanno individuato in circolazione 8 diverse famiglie malware.

• AgentTesla è stato distribuito con 4 diverse campagne, tre italiane e una generica ma veicolata anche nel nostro cyberspazio. Le email veicolano allegati ZIP, RAR, XLAM e Z. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Urnsif: il CERT ha contrastato due campagne mirate contro utenti italiani. Entrambe a tema Agenzia delle Entrate, veicolavano allegati ZIP o link rimandanti ad allegati ZIP. Per approfondire > Ursnif Malware in Italia: l’analisi approfondita del CERT;
• WarzoneRAT: distribuito con una campagna generica a tema Preventivo. Le email veicolano allegati ZIP dannosi.
• Formbook: rilevata una campagna generica di distribuzione a tema Preventivo. Le email veicolano allegati RAR dannosi. Per approfondire >  Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia.
• Pikabot: il CERT ha contrastato una campagna mirata contro utenti italiani a tema Resend. Le email veicolavano link con collegamento a file XLL.
• Lokibot: individuata una campagna generica a tema Pereventivo. Le email veicolavano allegati RAR. Per approfondire > Alert del CERT: è in corso in Italia l’ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro;
• SMSSpy torna in diffusione con una campagna smishing mirata contro utenti italiani. La campagna, a tema Banking e mirata contro i dispositivi Android, veicola via SMS il link al download di un file APK dannoso;
• Purelogs torna in distribibuzione in italia con una campagna a tema Agenzia delle Entrate. Le email veicolano allegati TGZ dannosi. Qui gli IoC – Telegram

Le campagne di phishing e i temi della settimana 30 Settembre 6 Ottobre

I temi che gli attaccanti hanno scelto per le proprie campagne dannose ammontano ad 8. I più utilizzati sono stati:

• Banking: tema classico, ricorrente e il più utilizzato. E’ stato utilizzato per le campagne di phishing e smishing rivolte ai clienti di vari istituti bancari. In particolare, il CERT segnala la campagna smishing per la distribuzione di SmSSPy.
• Preventivo: questo tema è stato usato soprattutto nell’ambito delle campagne malware. in dettaglio per diffondere Formbook, AgentTesla, Lokibot e WarzoneRAT.
• Agenzia delle entrate: tema sempre più ricorrente. In questa settimana gli attaccanti lo hanno scelto per diffondere Urnsif e PureLogs.

I brand sfruttati ammontano ad 11 e riferiscono, ovviamente, principalmente al settore bancario. Il CERT segnala, in particolare, una campagna di phishing che ha sfruttato loghi e nome della Presidenza del Consiglio dei Ministri.

Guide utili per rimanere al sicuro da attacchi malware e phishing

• Phishing: cosa è, come evitarlo e proteggere i dati
• Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Gli allegati email più usati per infettare Windows
• L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
• SOC – Security Operation Center: che cosa, perché, come