CERT-AGID 16-22 agosto: registrato il primo abuso di Action1
La scorsa settimana il CERT-AGID ha rilevato 81 campagne malevole nell’ambito italiano. Quarantuno di queste hanno avuto come obiettivo diretto realtà nostrane, mentre le restanti quaranta, pur essendo di natura più generica, hanno comunque coinvolto anche il nostro territorio.
Agli enti accreditati sono stati messi a disposizione 756 indicatori di compromissione individuati nel corso delle attività di monitoraggio.
I temi della settimana
Questa settimana i criminali informatici hanno sfruttato 24 diversi temi per diffondere campagne malevole sul territorio italiano.
Tra i più ricorrenti figura quello degli Ordini, impiegato per veicolare numerosi malware, tra cui AgentTesla, MassLogger, Remcos, Darkcloud, Avemaria, Formbook, VipKeylogger, XWorm e Obj3ctivity, attraverso due campagne italiane e nove di carattere generico.
Il settore bancario (Banking) è stato invece preso di mira da attacchi di phishing rivolti in particolare contro ING, BPM e Intesa Sanpaolo, con alcune campagne che hanno diffuso anche il malware Darkcloud.
Il CERT-AGID ha rilevato 81 campagne malevole e messo a disposizione 756 indicatori di compromissione.
I Documenti rappresentano un altro tema significativo, utilizzato in quattro campagne di phishing che hanno impersonato i brand Microsoft, DocuSign e Office365, oltre a sette campagne malware che hanno distribuito varianti come Formbook, XWorm, Lumma, Asyncrat e una versione malevola del legittimo software ScreenConnect.
Non è mancato neppure il tema delle Multe, usato in otto campagne che hanno sfruttato il nome di PagoPA e di presunte sanzioni stradali per sottrarre dati sensibili e numeri di carte di credito.
Tra gli eventi di maggiore interesse emerge una campagna particolarmente insidiosa che ha visto false comunicazioni riguardanti aggiornamenti di sicurezza per software di firma digitale.
Le email fraudolente invitavano gli utenti a scaricare una patch che in realtà conteneva codice malevolo sotto forma di script VBS.
Nonostante l’assenza di sofisticate tecniche di offuscamento, lo script consente l’installazione di Action1, un software legittimo di gestione remota sfruttato dai criminali per ottenere accesso ai sistemi.
Si tratta della prima volta che in Italia viene osservato l’abuso di Action1 in un contesto di compromissione.
Il CERT-AGID ha inoltre rilevato una campagna di phishing che ha sfruttato il nome del Fascicolo Sanitario Elettronico. In questo caso, le potenziali vittime hanno ricevuto email che promettevano un rimborso, corredate da un codice identificativo da inserire su una pagina esterna fraudolenta.
Una volta digitato il codice, l’utente è stato invitato a fornire dati personali e bancari, inclusi IBAN e nome della banca, per poi essere reindirizzato a una falsa pagina di accesso del proprio istituto.
Fonte: CERT-AGID
Un’ulteriore campagna ha colpito gli utenti dell’Agenzia delle Entrate, con comunicazioni che annunciavano un rimborso fiscale di 500 euro.
Le email contenevano un link e un codice QR che portavano a un sito fraudolento, dove l’utente poteva scegliere tra otto diversi istituti bancari e inserire le proprie credenziali di home banking, consegnandole così direttamente agli attaccanti.
Malware della settimana
Nel corso della settimana sono state individuate diciassette diverse famiglie di malware che hanno colpito l’Italia.
Tra le più rilevanti si segnala Remcos, al centro di una campagna nazionale a tema “preventivo” e di otto campagne generiche legate a ordini, pagamenti, consegne, prezzi e prenotazioni. Gli attacchi sono stati diffusi tramite email con allegati compressi in formati 7Z, RAR, ZIP e Z.
FormBook è stato invece protagonista di sei campagne generiche che hanno sfruttato i temi dei preventivi, delle consegne, dei documenti, degli ordini, dei prezzi e dei pagamenti, veicolate attraverso allegati GZ, RAR e ZIP.
Anche AgentTesla ha mantenuto una presenza significativa, con tre campagne generiche basate sui temi degli ordini e dei contratti, distribuite mediante allegati compressi in 7Z, GZ e TAR.
Fonte: CERT-AGID
DarkCloud ha visto l’emergere di una campagna italiana a tema prezzi e di due campagne generiche a tema ordini, propagate tramite email con allegati 7Z e GZ.
XWorm ha colpito con una campagna italiana incentrata sugli ordini e con una campagna generica a tema documenti, diffuse tramite allegati ZIP e RAR. AsyncRat è stato rilevato in due campagne generiche legate a documenti e prenotazioni, anch’esse veicolate tramite file ZIP.
LummaStealer è apparso in due campagne generiche a tema legale e documenti, anch’esse veicolate con allegati ZIP. SnakeKeylogger ha fatto la sua comparsa in due campagne generiche costruite attorno al tema delle fatture, trasmesse con allegati RAR e ZIP.
A completare il quadro, sono state osservate alcune campagne italiane che hanno diffuso Avemaria e Modiloader, insieme a campagne generiche che hanno distribuito altri malware noti come Grandoreiro, Guloader, MassLogger, Obj3ctivity, ScreenConnect e VipKeylogger.
Phishing della settimana
Nel corso della settimana sono stati presi di mira venti diversi brand attraverso campagne di phishing. A emergere per frequenza sono state le campagne che hanno sfruttato il nome di PagoPA, quello della banca ING e il Fascicolo Sanitario Elettronico.
Fonte: CERT-AGID
Non sono mancate inoltre numerose campagne di phishing legate a servizi di webmail non brandizzati, a conferma della varietà delle strategie utilizzate dai criminali informatici per colpire gli utenti italiani.
Formati e canali di diffusione
L’analisi delle campagne malevole osservate in Italia nell’ultima settimana ha evidenziato dodici diversi formati di file, con una netta prevalenza degli archivi compressi.
Il formato più utilizzato è stato lo ZIP, protagonista di dodici campagne, seguito dal RAR con otto episodi. Non molto distanti i formati 7Z e GZ, rispettivamente con sei e cinque utilizzi, mentre più rari sono stati i casi che hanno coinvolto file JS e Z.
Fonte: CERT-AGID
Per quanto riguarda i canali di diffusione, le email si confermano lo strumento quasi esclusivo sfruttato dai criminali informatici, responsabili di tutte le 81 campagne individuate. Non sono state invece registrate attività attraverso PEC o SMS.
Altro in questa categoria