Report CERT 10-16 Giugno 2023: quali malware girano nel panorama italiano? Quali campagne phishing? Nel report del CERT tutte le info utili.

I malware della settimana 10-16 Giugno

La scorsa settimana il CERT ha individuato e analizzato 47 campagne dannose, tutte mirate contro obiettivi italiani fatta eccezione per una campagna generica che ha interessato anche l’Italia. Le famiglie malware in diffusione ammontano a 6, ecco i dettagli:

  • Remcos è stato in diffusione con due diverse campagne, una a tema Banking e una a tema Pagamenti, entrambe contrastate dal CERT. Le email veicolavano allegati ZIP dannosi.
  • AgentTesla è stato rilevato in diffusione con due diverse campagne, una generica e una mirata contro utenti italiani, rispettivamente a tema Ordine e Pagamenti. Le email veicolavano allegati RTF con l’exploit pr l’Equation Editor e allegati LZH contenenti JS dannoso. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
  • AveMaria è stato in diffusione con una campagna italiana a tema Pagamenti. Le email veicolavano allegati in formato Z.
  • Qakbot è stato individuato in diffusione con una campagna a tema Resend mirata contro utenti italiani. Le email veicolavano allegati PDF con link che conducevano al download di JS dannoso.  Per approfondire > Il malware Qbot usa Wordpad per infettare Windows;
  • IceID è stato in diffusione, dopo molto tempo, con una campagna a tema resend mirata contro utenti italiani. Le email veicolavano, similmente alla campagna di diffusione di Qakbot, allegati PDF con link che conducevano al download di JS dannoso. Per saperne di più > IceId – un nuovo, sofisticato Trojan bancario: un’analisi tecnica dei Lab di sicurezza Quick Heal

Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio 2020: il nome viene da una stringa di codice del malware stesso. E’ un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.

Remcos RAT in breve:
Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ molto usato dai cyber attaccanti a mò di RAT, remote access trojan.

Report CERT 10-16 giugno: I malwware della settimana
Fonte: https://cert-agid.gov.it

Le campagne di phishing e i temi della settimana 10-16 Giugno

Le campagne di phishing ( e smishing) individuate sono state ben 37 e hanno coinvolto 14 diversi brand. Nessuna novità nel ribadire che il settore bancario è quello più colpito. Il CERT pone grande attenzione su una campagna di phishing adattivo mirata al furto delle credenziali di account PEC.

Report CERT 10-16 giugno: le campagne di phishing della settimana
Fonte: https://cert-agid.gov.it

I temi sfruttati per veicolare le campagne dannose sono stati 6, i principali:

  • Banking è il tema usato per le campagne di phishing e smishing contro clienti di istituti bancari italiani, ma questo è anche il tema della campagna di diffusione di Remcos rivolta ai clienti BPM;
  • Pagamenti è il tema sfruttato per diffondere principalmente malware, in particolare AgentTesla, Strela, Avemaria e Remcos.
  • Riattivazione è stato usato per le campagne di phishing contro utenti INPS. Campagne mirate al furto di credenziali di accesso alle webmail e per rubare documenti di identità.

Report CERT 10-16 giugno: i temi della settimana
Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Report CERT 10-16 giugno: tipologie di file vettore
Fonte: https://cert-agid.gov.it

Questa settimana il CERT evidenzia un uso insolitamente alto di JS. Non stupisce la “medagli d’argento” del formato ZIP, usatissimo da sempre.

Guide utili per rimanere al sicuro da attacchi malware e phishing