CERT-AGID 8–14 novembre: ondata di phishing su hosting, PagoPA e università
Nel periodo compreso tra l’8 e il 14 novembre, il CERT-AGID ha analizzato 87 campagne malevole dirette verso utenti e organizzazioni italiane.
Di queste, 53 hanno avuto obiettivi esplicitamente italiani, mentre 34 campagne generiche hanno comunque coinvolto il nostro Paese.
Complessivamente, sono stati condivisi con gli enti accreditati 820 indicatori di compromissione (IoC) relativi alle minacce osservate.
I temi della settimana
Sono stati 21 i temi sfruttati per veicolare phishing e malware, con un marcato aumento delle campagne che imitano servizi online legati ai rinnovi, alle multe, ai pagamenti e ai servizi bancari.
87 campagne malevole rilevate in Italia, con 820 indicatori di compromissione. In aumento i phishing a tema rinnovo servizi, mentre crescono gli attacchi contro atenei e grandi piattaforme online.
Il tema Rinnovo risulta tra i più diffusi con 12 campagne di phishing, sia italiane che internazionali, tutte via email.
Le comunicazioni imitano il rinnovo di servizi legati a Register, Serverplan, OVHCloud, Aruba, Wix, Axarnet, oltre a iCloud, Mooney, McAfee e vari provider di webmail, sfruttando la pressione psicologica delle scadenze amministrative e tecniche.
Altre 12 campagne, tutte italiane, hanno sfruttato il tema Multe, con finte comunicazioni PagoPA che simulano sanzioni stradali non pagate e invitano le vittime a inserire dati personali e bancari attraverso link malevoli.
Il tema Banking, con 11 campagne (8 italiane e 3 generiche), ha combinato phishing e malware mobile: tra gli istituti imitati figurano ING, Interactive Brokers, Credem e Standard Bank, mentre le campagne malware hanno diffuso DonutLoader, insieme ai trojan Android Copybara, Herodotus e GhostGrab.
Il tema Ordine, sfruttato in otto campagne, è stato impiegato esclusivamente per la diffusione di malware come Remcos, AgentTesla, PureLogs, FormBook e PhantomStealer, tutti veicolati tramite allegati manipolati.
Tra gli eventi di particolare interesse della settimana, il CERT-AGID segnala una campagna di phishing ai danni degli utenti Facebook che, attraverso email dai toni legali, indirizza le vittime verso una finta pagina Meta.
Il sito fraudolento replica un popup del browser e un modulo di login identico a quello originale, con l’obiettivo di sottrarre le credenziali di accesso.
Parallelamente è stata individuata una campagna diffusa via SMS e rivolta a utenti INPS, pensata per raccogliere una quantità significativa di dati personali: oltre alle generalità e all’IBAN, gli attaccanti richiedono un selfie e foto della carta di identità, della tessera sanitaria, della patente e delle ultime tre buste paga.
Fonte: CERT-AGID
Un ulteriore caso riguarda una campagna a tema GLS che diffonde il malware Remcos tramite email con allegato XHTML, spingendo la vittima a copiare e incollare comandi dannosi nel terminale per scaricare ed eseguire uno script malevolo.
Infine, il CERT-AGID ha rilevato un nuovo caso di phishing mirato contro l’Università di Parma: una pagina ospitata su Weebly replica l’accesso all’area privata dell’ateneo e viene utilizzata per sottrarre credenziali istituzionali a studenti e personale.
Malware della settimana
Sono state 16 le famiglie di malware osservate tra l’8 e il 14 novembre.
Il più diffuso si conferma Remcos, con 5 campagne italiane a tema “Preventivo”, “Ordine”, “Banking” e “Fattura”, e 4 campagne generiche “Delivery”, “Ordine” e “Pagamenti”. I file allegati utilizzati includono XLS, 7Z, Z, GZ, RAR, ZIP e DOCX, oltre a siti con finti Captcha.
AgentTesla è stato individuato in 3 campagne italiane e 4 generiche, diffuso tramite allegati TAR, BZ2, 7Z, ZIP e RAR contenenti script VBS e VBE.
PhantomStealer compare in 3 campagne generiche legate ai temi “Ordine”, “Pagamenti” e “Prezzi”, mentre DarkCloud è stato utilizzato in 2 campagne a tema “Prezzi” e “Delivery”.
Particolare attenzione anche ai malware mobile: 2 campagne italiane hanno diffuso Copybara, una campagna generica ha distribuito GhostGrab, e un’altra campagna italiana ha impiegato Herodotus, tutti via SMS con link a file APK malevoli.
Fonte: CERT-AGID
Guloader è stato individuato in 2 campagne generiche, mentre Rhadamanthys è stato usato in d2ue campagne italiane a tema “Booking” e “Documenti”, distribuite tramite script PS1 e installer MSI.
Un’ulteriore campagna italiana ha diffuso MintLoader tramite PEC contenenti ZIP con file HTML.
Completano il quadro varie campagne italiane che hanno diffuso DonutLoader, FormBook, PureLogs e XWorm, insieme a campagne generiche Danabot e LummaStealer, sfruttando argomenti come “Aggiornamenti” e “Documenti”.
Phishing della settimana
Sono stati 27 i brand coinvolti nelle campagne di phishing rilevate nel corso della settimana presa in esame.
Fonte: CERT-AGID
Particolarmente ricorrenti sono state le operazioni che hanno sfruttato i nomi di PagoPA e iCloud, insieme alle numerose campagne che imitano servizi di webmail non brandizzate, ancora fra i vettori più frequenti per la raccolta fraudolenta di credenziali.
Formati e canali di diffusione
L’analisi conferma la netta predominanza degli archivi compressi come principale mezzo di diffusione dei contenuti malevoli.
Nel periodo considerato sono state individuate 20 tipologie di file, con ZIP al primo posto (9 utilizzi), seguito da RAR (7) e 7Z (5). Seguono VBS e APK (4 utilizzi ciascuno), e Z (3).
I formati PDF, EXE e DOCX compaiono due volte, mentre BZ2, HTML, PS1, HTM, BAT, GZ, MSI, JS, VBE, TAR e XLS sono stati impiegati in un singolo caso.
Fonte: CERT-AGID
La posta elettronica rimane il vettore dominante con 81 campagne. Cinque attacchi sono stati condotti via SMS, mentre una campagna è transitata tramite PEC.
Altro in questa categoria