Ott 07, 2024 Attacchi, Hacking, Intrusione, Malware, News, Phishing, Tecnologia, Vulnerabilità

---

Nel corso dell’ultima settimana, il CERT-AGID ha condotto un’approfondita analisi dello scenario di sicurezza informatica italiano, identificando complessivamente 29 campagne malevole.

Di queste, 19 erano specificatamente mirate a obiettivi italiani, mentre le restanti 10, pur essendo di natura più generica, hanno comunque avuto un impatto significativo sul territorio nazionale.

Come risultato di questa attività di monitoraggio e analisi, il CERT-AGID ha individuato 310 indicatori di compromissione (IoC), prontamente condivisi con gli enti accreditati.

I temi della settimana

Nella settimana in esame, le campagne malevole dirette al territorio italiano hanno sfruttato 14 diverse tematiche.

Tra queste, il settore bancario è emerso come argomento ricorrente nelle campagne di phishing, coinvolgendo sia istituti italiani che internazionali, tra cui Intesa Sanpaolo, Crédit Agricole, Unicredit, Société Générale e Mooney.

Il tema dei pagamenti è stato utilizzato in due distinte campagne di phishing: una mirata all’Agenzia delle Entrate in Italia, l’altra sfruttando il nome della piattaforma Chameleon. Questo stesso argomento è servito anche per diffondere i malware StrRat e Vidar.

Gli avvisi di sicurezza sono stati sfruttati in due campagne di phishing, una rivolta a SumUp in Italia e una generica a tema webmail, oltre che per la diffusione di malware come LummaC.

Il tema del rinnovo è invece stato impiegato in campagne italiane di phishing contro Netflix e Aruba. Le rimanenti tematiche sono state utilizzate per veicolare varie tipologie di malware e campagne di phishing.

Tra gli eventi di particolare interesse, si segnala una nuova campagna di malspam del malware Vidar, diffusa tramite email fraudolente inviate da caselle PEC compromesse, che richiedono il pagamento di false fatture insolute.

Inoltre, è stata rilevata una campagna di phishing che sfrutta il nome dell’Agenzia delle Entrate. Attraverso email in italiano, le vittime vengono indotte ad aprire un allegato PDF che simula una ricevuta di pagamento.

Cliccando su un link all’interno del documento, gli utenti vengono reindirizzati verso una pagina fraudolenta progettata per carpire le credenziali email.

Malware della settimana

Nel corso della settimana, sono state identificate sette famiglie di malware che hanno preso di mira l’Italia.

È stata scoperta Una campagna italiana di VIPKeylogger che ha utilizzato il tema “Preventivo” e si è diffusa attraverso email con allegati DOC.

Parallelamente, è stata rilevata una campagna generica di StrRat incentrata sul tema “Pagamenti”, veicolata tramite email contenenti allegati JS.

Il malware Remcos è stato distribuito attraverso una campagna italiana focalizzata sul tema “Ordine”, utilizzando email con allegati XLS.

LummaC è stato invece protagonista di una campagna generica relativa agli “Avvisi di sicurezza”, diffusa via email, della quale è stato analizzato un eseguibile del payload in formato EXE.

Una campagna italiana di Vidar, incentrata sul tema “Pagamenti”, si è propagata attraverso PEC contenenti allegati JS. AgentTesla è stato invece rilevato in una campagna generica a tema “Documenti”, diffusa via email, di cui è stato esaminato un eseguibile in formato EXE.

Formbook ha fatto la sua comparsa in una campagna italiana sul tema “Ordine”, veicolata tramite email con allegati ZIP.

Infine, è stata osservata una campagna generica relativa agli “Avvisi di sicurezza” che distribuisce un malware dal comportamento apparentemente simile a uno spyware, la cui identificazione definitiva è ancora in corso.

Phishing della settimana

Nel corso della settimana, le campagne di phishing hanno coinvolto un totale di diciassette marchi diversi. Tra questi, alcuni nomi si sono distinti per la frequenza con cui sono stati presi di mira.

In particolare, Roundcube, Aruba e Intesa Sanpaolo sono emersi come obiettivi ricorrenti, attirando un numero significativo di tentativi di frode.

Accanto a queste campagne mirate, si sono registrate numerose iniziative di phishing incentrate sul tema generico delle webmail, una tattica ormai consolidata nel panorama delle minacce informatiche.

Formati e canali di diffusione

L’analisi delle recenti attività malevole ha rivelato un approccio variegato nell’utilizzo dei formati di file da parte dei cybercriminali. Durante l’esame, sono emerse sei diverse tipologie di file impiegate nelle campagne di attacco.

In questo scenario, due formati hanno particolarmente spiccato per la loro frequenza d’uso: gli eseguibili (EXE), e i file JavaScript (JS). Entrambi questi tipi di file sono stati riscontrati in due distinte occasioni.

Accanto a questi, l’indagine ha anche evidenziato l’utilizzo, seppur meno frequente, di altri formati.

In particolare, sono stati individuati casi singoli di impiego di fogli di calcolo Excel (XLS), documenti di testo Word (DOC), file PDF e archivi compressi ZIP.

---

• CERT-AGID, malspam, malware, Phishing

---

---