CERT-AGID 13 – 19 luglio 2024: 36 campagne malevole, CrowdStrike e due campagne di phishing

Nel corso di questa settimana, il CERT-AGID ha individuato e analizzato 36 campagne malevole nello scenario italiano di sua competenza.

Di queste, 23 erano mirate specificamente a obiettivi italiani, mentre le restanti 13, pur essendo di natura più generica, hanno comunque avuto un impatto sul territorio nazionale.

A seguito di queste analisi, il CERT-AGID ha identificato 393 indicatori di compromissione (IOC), che sono stati messi a disposizione degli enti accreditati per rafforzare le loro difese.

I temi più rilevanti della settimana

Nell’ultima settimana, sono stati identificati 14 temi principali utilizzati per veicolare campagne malevole sul territorio italiano. Tra questi, il settore bancario emerge come uno dei più colpiti, con ricorrenti campagne di smishing rivolte principalmente ai clienti di istituti bancari italiani e internazionali, tra cui Poste Italiane, Intesa Sanpaolo e Unicredit.

Il tema del Banking è stato sfruttato anche per diffondere il malware Remcos, inviato alle vittime sotto forma di file BAT tramite email.

Il tema Delivery non è stato risparmiato, con campagne di phishing italiane ai danni di FedEx e la diffusione dei malware Lokibot e Snake Keylogger. Anche il tema Preventivi è stato ampiamente sfruttato per veicolare diversi malware, tra cui Lokibot, Formbook e PXRECVOWEIWOEI, oltre all’infostealer “Obj3ctivity”, già noto al CERT-AGID.

Il tema dei Pagamenti è stato utilizzato sia per campagne di phishing contro vari utenti, sia per diffondere i malware Guloader e Formbook. I restanti temi sono stati impiegati per veicolare varie tipologie di campagne malware e phishing.

Tra gli eventi di particolare interesse, si segnalano due campagne di phishing ai danni del Ministero degli Affari Esteri e della Cooperazione Internazionale: la prima, denominata “Visto per l’Italia”, mirava a raccogliere dati personali di utenti interessati a richiedere il visto, mentre la seconda era progettata per rubare le credenziali di accesso dei dipendenti, inducendoli a credere di star scaricando la VPN dell’ente di appartenenza.

Infine, ricordiamo il grave incidente globale causato da un aggiornamento difettoso rilasciato dall’azienda di cybersicurezza CrowdStrike, che ha reso inutilizzabili numerosi PC e server Windows a livello mondiale, colpendo in particolare compagnie aeree, aeroporti, banche, borse finanziarie ed emittenti televisive.

Fonte: CERT-AGID

Malware della settimana

Nell’arco della settimana sono state individuate 9 famiglie di malware che hanno interessato l’Italia. Tra queste, alcune campagne hanno assunto particolare rilievo.

Snake Keylogger è stato diffuso attraverso due campagne: una italiana sul tema “Delivery” e una generica sul tema “Conferma”, entrambe veicolate tramite email con allegati ARJ. Lokibot è stato protagonista di una campagna italiana incentrata sul tema “Preventivo” e una generica sul tema “Delivery”, diffuse tramite email con allegati PDF e RAR.

FormBook è stato rilevato in una campagna italiana e una generica, entrambe sul tema “Pagamenti”, veicolate tramite email con allegati RAR e DOC. Remcos ha colpito con una campagna italiana a tema “Banking”, diffusa tramite email con allegato BAT.

PXRECVOWEIWOEI è stato individuato in una campagna generica a tema “Preventivo”, diffusa tramite email con allegato JS. Guloader è stato scoperto in una campagna italiana a tema “Pagamenti” diffusa tramite email. Redline è stato individuato in una campagna generica a tema “Contratti”, veicolata tramite email con allegato RAR.

AgentTesla è stato rilevato in una campagna italiana a tema “Contratti”, diffusa mediante email con allegato IMG. Infine, Irata è stato scoperto in una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.

Fonte: CERT-AGID

Phishing della settimana

Nel corso della settimana sono stati coinvolti 14 brand nelle campagne di phishing individuate. Tra questi, si sono distinti per la quantità di attacchi Aruba, Poste Italiane, Unicredit e Intesa Sanpaolo.

Tuttavia, il primato spetta alle campagne di Webmail non brandizzate, che hanno registrato il maggior numero di tentativi. Queste ultime si sono rivelate particolarmente insidiose, mirando a carpire dati sensibili agli utenti attraverso strategie che non fanno leva su marchi noti, rendendo così più difficile per le vittime riconoscere la natura fraudolenta delle comunicazioni.

Fonte: CERT-AGID

Formati e canali di diffusione

I tipi di file utilizzati questa settimana sono stati 11. Tranne il formato RAR, usato tre volte, stati tutti utilizzati una sola volta. Essi sono ARJ, PDF, HTML, BAT, JS, URL, DOC, IMG, APK e Z.

Fonte: CERT-AGID

Per quanto riguarda i canali di diffusione, le email sono stato usate 34 volte, mentre SMS e PEC una volta ciascuna.