CERT-AGID 3-9 gennaio: phishing e malware aprono il 2026
Nel periodo compreso tra il 3 e il 9 gennaio, il CERT-AGID ha rilevato e analizzato 73 campagne malevole attive in Italia.
Di queste, 55 hanno avuto obiettivi specificamente italiani, mentre 18 campagne di natura generica hanno comunque interessato utenti e organizzazioni nel Paese.
Complessivamente, il CERT-AGID ha messo a disposizione degli enti accreditati 634 indicatori di compromissione (IoC).
I temi della settimana
Sono 20 i temi sfruttati per veicolare campagne di phishing e malware, con una netta prevalenza di operazioni legate a multe, banking, rinnovi di servizi e documentazione.
Il tema Multe domina la settimana con 17 campagne di phishing, tutte italiane e tutte veicolate tramite email.
Le comunicazioni, costruite come finte notifiche PagoPA relative a presunte sanzioni stradali non pagate, mirano a indurre le vittime a cliccare su link malevoli e a inserire dati personali e bancari.
Il tema Banking è stato utilizzato in tre campagne di phishing italiane rivolte ai clienti di Nexi, BNL e Inbank. Lo stesso ambito è stato inoltre sfruttato per cinque campagne malware, di cui due italiane, che hanno diffuso Copybara, QuasarRAT, RelayNFC e BTMob.
Sono state 73 le campagne rilevate in Italia nella prima settimana dell’anno, con smishing INPS e finte sanzioni PagoPA.
In questi casi la distribuzione è avvenuta sia tramite email con allegati malevoli sia, per le varianti mobile, tramite SMS contenenti link a file APK.
Il tema Rinnovo è comparso in otto campagne di phishing, quasi tutte italiane e tutte veicolate via email.
A eccezione di una campagna che ha abusato del nome del Ministero della Salute, le altre hanno simulato comunicazioni di servizi online e fornitori di hosting e gestore di domini come Aruba, Hostingsolution, Wix, Ergonet e Serverplan, facendo leva su presunte scadenze imminenti.
Il tema Documenti è stato sfruttato in sei campagne, due delle quali italiane, finalizzate alla diffusione di Purecrypter, PureLogs, Remcos e WarzoneRat tramite email con allegati compressi.
In alcuni casi sono stati inoltre abusati strumenti legittimi di controllo remoto, utilizzati come veicolo per l’esecuzione di codice malevolo sui sistemi compromessi.
Tra gli eventi di particolare interesse, il CERT-AGID segnala innanzitutto l’individuazione di una nuova vulnerabilità critica in n8n, soprannominata Ni8mare.
La falla, sfruttabile da remoto e senza autenticazione, consente la lettura di file locali, l’accesso a chiavi e configurazioni sensibili e può arrivare fino alla generazione di credenziali amministrative e alla possibile esecuzione di comandi. È stato raccomandato l’aggiornamento immediato a n8n 1.121.0 o versioni successive.
Sul fronte del phishing, è stata rilevata una campagna mirata contro studenti e personale dell’Università di Brescia, che indirizza le vittime verso una pagina fraudolenta replica del portale di login dell’Ateneo per sottrarre credenziali istituzionali.
Fonte: CERT-AGID
Un’ulteriore campagna ha abusato dei loghi e dei nomi del Sistema Tessera Sanitaria e del Ministero della Salute, segnalando una presunta scadenza imminente della tessera e invitando le vittime a inserire dati personali su una falsa pagina di rinnovo.
Il CERT-AGID ha inoltre individuato un falso portale che sfrutta i loghi del Ministero dell’Interno, progettato per sottrarre informazioni utili a furti d’identità o frodi ai danni di cittadini stranieri.
Con il pretesto di verificare lo stato del permesso di soggiorno, la pagina richiede dati identificativi e dettagli relativi alla pratica, richiamando procedure reali per apparire più credibile.
Torna infine il phishing a tema “Dichiarazione Fiscale Criptovalute”, che abusa del nome e del logo dell’Agenzia delle Entrate. Oltre alla raccolta di dati personali, l’obiettivo principale è l’accesso ai wallet di criptovalute delle vittime.
A questo si aggiunge una nuova campagna di smishing ai danni di utenti INPS, veicolata tramite SMS che invitano ad “aggiornare” i propri dati per non perdere presunti benefici, con link accessibili solo da dispositivi mobili.
Malware della settimana
Nel corso della settimana sono state individuate 16 famiglie di malware attive in Italia.
FormBook è stato rilevato in una campagna italiana a tema “Ordine”, diffusa tramite email con allegato TAR, e in una campagna generica a tema “Contratti” veicolata con allegato ZIP.
PhantomStealer è comparso in una campagna italiana a tema “Ordine”, distribuita con allegato XZ, e in una campagna generica “Contratti” che ha sfruttato archivi RAR.
Fonte: CERT-AGID
Copybara è stato utilizzato in due campagne italiane a tema “Banking”, veicolate tramite SMS contenenti link per il download di APK malevoli.
BTMob e RelayNFC sono stati osservati in due campagne generiche sempre a tema “Banking”, mirate all’infezione di dispositivi Android attraverso file APK.
Una campagna italiana ha abusato del software legittimo Remote.It, veicolato tramite un link a un finto captcha (ClickFix), per ottenere il controllo remoto dei dispositivi compromessi.
Action1 è stato rilevato in una campagna generica a tema “Documenti”, diffusa con allegato MSI, mentre AgentTesla è comparso in una campagna italiana a tema “Ordine” veicolata tramite email con allegato 7Z.
Purecrypter è stato individuato in una campagna italiana a tema “Documenti”, diffusa con allegato RAR.
Infine, sono state osservate diverse campagne generiche che hanno diffuso AsyncRAT, Guloader, LummaStealer, PureLogs, QuasarRAT, Remcos e WarzoneRat, sfruttando i temi “Documenti”, “Aggiornamenti”, “Prezzi” e “Banking” e utilizzando email con allegati ZIP, RAR, 7Z e TAR.
Phishing della settimana
Sono 25 i brand coinvolti nelle campagne di phishing osservate.
Fonte: CERT-AGID
Per quantità spiccano le operazioni che sfruttano i nomi di PagoPA, PayPal e iCloud, insieme alle consuete campagne di webmail non brandizzate orientate al furto di credenziali.
Formati e canali di diffusione
Gli archivi compressi come sempre si confermano lo strumento principale per la diffusione dei contenuti malevoli.
Nel periodo osservato sono state individuate 9 tipologie di file, con APK al primo posto (4 utilizzi), seguiti da ZIP, RAR e 7Z (3).
Con due utilizzi compare il formato TAR, mentre HTML, XZ, MSI e JS sono stati osservati in un solo caso ciascuno.
Fonte: CERT-AGID
Per quanto riguarda i canali di distribuzione, la posta elettronica rimane dominante con 66 campagne, seguita da sette campagne veicolate via SMS.
Altro in questa categoria