Sintesi riepilogativa delle campagne malevole nella settimana del 13 – 19 dicembre
CERT-AGID报告称本周监测到82起恶意活动,其中46起针对意大利。主要涉及银行、罚款、支付和验证等主题的钓鱼攻击和恶意软件传播。银行主题被用于6次钓鱼攻击和5次恶意软件传播;罚款主题被用于11次钓鱼攻击;支付主题涉及4次钓鱼和4次恶意软件;验证主题则有7次钓鱼攻击。此外,还发现新的smishing攻击针对INPS用户,并通过公开云flare子域名暴露了多个恶意软件家族文件。 2025-12-19 16:33:15 Author: cert-agid.gov.it(查看原文) 阅读量:36 收藏

19/12/2025


riepilogo

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 82 campagne malevole, di cui 46 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 966 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 23 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

  1. Banking – Argomento sfruttato in sei campagne di phishing, di cui cinque italiane, ai danni delle banche e istituti di credito Wise, Nexi, Crédit Agricole, Intesa Sanpaolo e ING. È stato inoltre usato per cinque campagne malware volte alla diffusione di Copybara, AgentTesla, FormBook, NexusRoute e Frogblight.
  2. Multe – Tema utilizzato in undici campagne di phishing italiane, tutte veicolate tramite email e originate da finte comunicazioni PagoPA. Le email, che si fingono notifiche di sanzioni stradali non ancora pagate, inducono gli utenti a fornire dati personali e bancari.
  3. Pagamenti – Argomento sfruttato in quattro campagne di phishing, di cui una generica, ai danni di Disney+, Autostrade per l’Italia, cPanel e DHL. Rilevate, inoltre, quattro campagne malware volte alla diffusione di AgentTesla, FormBook, Purelogs e PhantomStealer.
  4. Verifica – Tema usato per sette campagne di phishing, di cui quattro italiane, che hanno abusato, fra i vari, del nome di INPS e di Ar24.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

  • È stato pubblicato a firma del CERT-AgID un nuovo paper che analizza i meccanismi interni sulla base dei quali in un Large Language Model (LLM) nascono rifiuti, bias, allucinazioni e segnali di sicurezza e mostra che, intervenendo sulle attivazioni (activation engineering/steering), è possibile alterare tali segnali fino ad aggirare le barriere di sicurezza.
  • Il CERT-AGID ha avuto evidenza di un nuovo smishing ai danni di utenti INPS. Gli attaccanti mirano a sottrarre numerosi dati personali alle vittime. Oltre alle generalità, a un selfie e all’IBAN, alle vittime viene richiesto il caricamento di foto scattate a carta di identità, tessera sanitaria, patente e ultime tre buste paga.

Malware della settimana

Sono state individuate, nell’arco della settimana, 14 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

  1. AgentTesla – Individuate otto campagne italiane a tema “Pagamenti”, “Fattura” e “Banking” che sfruttano allegati ZIP, TAR e UUE e quattro campagne generiche “Ordine”, “Documenti” e “Preventivo” con vettore d’attacco iniziale XLSX e 7Z.
  2. FormBook – Scoperte due campagne italiane “Ordine” e “Banking” che sfruttano file 7Z e Z e quattro campagne generiche ad argomento “Aggiornamenti”, “Ordine”, “Documenti” e “Pagamenti” veicolati tramite email con allegati DOCX e RAR.
  3. AsyncRat – Osservate due campagne generiche a tema “Booking” e “Documenti” che sfruttano file ZIP.
  4. Remcos – Rilevate due campagne generiche “Prezzi” e “Aggiornamenti” veicolate tramite file 7Z e ZIP.
  5. MintLoader – Individuata una campagna italiana a tema “Fattura” distribuita attraverso caselle PEC compromesse che allegano file ZIP.
  6. Amadey – Scoperta una campagna generica “Contratti” che utilizza file MSI.
  7. Osservate campagne sia generiche che italiane per dispositivi Android che diffondono Copybara, Frogblight e NexusRoute, tutte a tema “Banking” e veicolate tramite SMS con link che rimandano al download di APK dannosi.
  8. Grandoreiro – Rilevata una campagna generica ad argomento “Legale” che allega ISO.
  9. PhantomStealer – Individuata una campagna generica “Pagamenti” che sfrutta file RAR.
  10. PureLogs – Si è avuta evidenza di una campagna generica “Pagamenti” veicolata tramite mail con allegati GZ.
  11. StrRat – Osservata una campagna generica “Prezzi” diffusa tramite ZIP.
  12. Si è avuta infine evidenza di un repository esposto tramite un sottodominio trycloudflare.com che mostra una open directory contenente file riconducibili alle famiglie malware XWorm, AsyncRAT e PureHVNC.

Phishing della settimana

Sono 30 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA e iCloud oltre alle sempre presenti campagne ad argomento Webmail non brandizzate che mirano a rubare dati personali agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche


文章来源: https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-dicembre/
如有侵权请联系:admin#unsafe.sh