CERT-AGID 21 – 27 dicembre: anche gli hacker festeggiano il Natale

Probabilmente, la settimana scorsa, anche gli hacker sono dovuti usciti a prendere gli ultimi regali.

Nel periodo che va dal 21 al 27 dicembre, infatti, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 18 campagne malevole, mettendo a disposizione dei suoi enti accreditati i relativi 147 indicatori di compromissione (IoC) individuati.

La settimana precedente, per fare un raffronto, abbiamo commentato il doppio delle campagne malevole e oltre il quadruplo degli indicatori di compromissione.

I temi della settimana

Questa settimana, sono stati utilizzati 12 temi per promuovere campagne malevole in Italia.

Tra questi, il tema dei Pagamenti è stato sfruttato in due distinte campagne di phishing mirate a utenti Microsoft e Capital One, nonché in una campagna Microsoft italiana. Inoltre, è stato impiegato per diffondere il malware Astaroth tramite email.

Il settore Bancario ha visto l’utilizzo del tema in campagne di phishing inviate tramite PEC, indirizzate principalmente a clienti di istituti bancari italiani come Intesa Sanpaolo.

Nel periodo che va dal 21 al 27 dicembre, il CERT-AGID ha riscontrato 18 campagne malevole ed emesso 147 indicatori di compromissione.

Gli Aggiornamenti, invece, sono stati sfruttati in una campagna di phishing ai danni di utenti SumUp e in una campagna Webmail generica.

Le Poste sono state utilizzate come pretesto per altre campagne di phishing mirate a clienti di Poste Italiane. Gli altri temi sono stati impiegati per veicolare vari tipi di malware e phishing.

Tra gli eventi di particolare interesse segnaliamo l’individuazione di 3 famiglie di malware che hanno interessato l’Italia.

Nello specifico, sono stati rilevati diversi attacchi informatici causati dal malware Lumma Stealer, sfruttando il tema SORA, un nuovo modello di generazione video sviluppato da OpenAI, per ingannare le vittime.

Utilizzando tecniche di ingegneria sociale, gli attaccanti hanno indotto gli utenti a cliccare su link malevoli che hanno portato al download di un file apparentemente legittimo.

Una volta eseguito, il file attiva l’infezione, permettendo al malware Lumma Stealer di raccogliere informazioni e trasferirle verso il server C2.

Questo tipo di attacco ricorda quello avvenuto poco più di un mese fa, quando il malware AsyncRAT veniva diffuso tramite falsi domini OpenAI.

Fonte: CERT-AGID

Sono poi continuate le campagne di smishing ai danni dell’INPS. Gli utenti hanno ricevuto un SMS fraudolento che simula una comunicazione urgente da parte dell’ente previdenziale, indirizzandoli a una pagina web che replica il portale ufficiale dell’INPS.

Sulla falsa piattaforma, le vittime sono indotte a caricare copie di vari documenti personali, tra cui carta d’identità, patente, tessera sanitaria, IBAN e ultime buste paga.

Malware della settimana

Nel corso della settimana, sono state individuate tre famiglie di malware che hanno colpito l’Italia.

Tra queste, di particolare rilievo, troviamo la succitata campagna con Lumma Stealer, con una campagna a tema “AI” diffusa tramite link che ha portato al download di un file ZIP malevolo.

La seconda è legata a AgentTesla, scoperta in una campagna a tema Acquisti che sfrutta email con allegati 7Z.

Fonte: CERT-AGID

Infine, è stata rilevata una campagna di Astaroth, a tema Pagamenti, distribuita tramite email contenenti allegati ZIP.

Phishing della settimana

Nel corso di questa settimana, sono stati 10 i brand coinvolti nelle campagne di phishing, con un’attenzione particolare rivolta a tre in particolare, che spiccano per la quantità di attacchi subiti.

Poste Italiane è stata al centro di numerose campagne, con tentativi di inganno che hanno preso di mira i suoi utenti attraverso email e SMS fraudolenti.

Anche Microsoft ha visto un’intensificazione delle attività di phishing, con attacchi mirati a sottrarre informazioni sensibili da parte degli utenti.

Fonte: CERT-AGID

Infine, Intesa Sanpaolo ha subito una serie di campagne di phishing tramite PEC, indirizzate principalmente ai suoi clienti, cercando di carpire dati bancari e personali.

Formati e canali di diffusione

Il rapporto settimanale del CERT-AGID ha messo in evidenza l’uso di tre diversi formati di file per la distribuzione di contenuti dannosi.

Tra questi, il formato ZIP si conferma come il più utilizzato, impiegato in due diverse campagne malevoli. Seguono i formati HTML e 7Z, utilizzati una sola volta ciascuno.

Le email rimangono il principale canale di attacco, con ben 12 campagne identificate che sfruttano questo mezzo per colpire le vittime.

Anche la posta elettronica certificata (PEC), solitamente considerata più sicura, è stata presa di mira da tre campagne dannose.

Fonte: CERT-AGID

Da ultimo, gli SMS continuano a emergere come uno strumento in crescita nel phishing, con tre campagne rilevate, a testimonianza della crescente varietà nelle tecniche di attacco.