Aggiornamenti recenti Ottobre 9th, 2024 5:18 PM
Ago 26, 2024 Stefano Silvestri Attacchi, Malware, News, RSS 0
Nel corso dell’ultima settimana, il CERT-AGID ha condotto un’analisi approfondita dello scenario di cybersicurezza italiano, individuando un totale di 35 campagne malevole. Di queste, 17 erano mirate specificamente a obiettivi italiani, mentre le restanti 18, pur essendo di natura più generica, hanno comunque avuto un impatto sul territorio nazionale.
A seguito di questa attività di monitoraggio, il CERT-AGID ha identificato 1309 indicatori di compromissione (IOC). Questi dati sono stati prontamente condivisi con gli enti accreditati, fornendo loro strumenti essenziali per rafforzare le proprie difese e contrastare potenziali minacce informatiche.
Nel corso di questa settimana sono stati identificati 14 diversi temi sfruttati per veicolare campagne malevole sul territorio italiano. “Undelivered” è stato ampiamente sfruttato per numerose campagne di phishing, sia mirate all’Italia che di natura più generica, colpendo in particolare FedEx, Poste Italiane e varie webmail.
L’argomento “Documenti” è stato utilizzato per diffondere malware come Remcos, Formbook e AgentTesla, oltre che per condurre campagne di phishing, incluse due generiche rivolte a webmail e una specifica per utenti italiani di Microsoft Outlook.
Il tema “Pagamenti” è stato impiegato per distribuire diversi tipi di malware, tra cui AdWind, Vidar, AgentTesla e Formbook. Il “Banking” è stato un tema ricorrente nelle campagne generiche di phishing ai danni di Visa&Mastercard e Crédit Agricole, ed è stato anche utilizzato in una campagna di smishing italiana per diffondere il malware Irata.
I restanti temi sono stati impiegati in varie campagne di malware e phishing, senza che emergessero particolari specificità degne di nota nel rapporto.
Tra gli eventi invece degni di nota spiccano due campagne particolarmente insidiose. La prima consiste in una nuova ondata di malspam diffusa attraverso il canale della Posta Elettronica Certificata (PEC), con l’obiettivo di propagare il malware Vidar.
Questa campagna ha preso di mira sia individui privati che dipendenti della Pubblica Amministrazione, dimostrando un ampio raggio d’azione. Il modus operandi prevede l’invio di e-mail contenenti un link che, se cliccato, porta al download di un file JavaScript malevolo.
Il secondo evento rilevante riguarda una sofisticata campagna di smishing che ha preso di mira gli utenti dell’INPS. Lo scopo di questa operazione è l’acquisizione illecita di dati sensibili degli utenti, con particolare interesse per le informazioni relative alle carte di credito, oltre a nome, cognome e codice fiscale.
Ciò che rende questa campagna particolarmente pericolosa è la sua struttura ben organizzata, che include l’utilizzo di un bot Telegram come centro di comando e controllo (C2) per la raccolta e la gestione dei dati sottratti.
Nel corso della settimana, sono state identificate sei famiglie di malware che hanno preso di mira l’Italia, ciascuna con caratteristiche e metodi di diffusione distinti.
FormBook si è manifestato attraverso tre campagne: una specificamente italiana e due di natura più generica, tutte incentrate sui temi “Documenti” e “Pagamenti”. Queste campagne hanno utilizzato email con allegati in formato 7Z e ZIP come vettore di diffusione.
AgentTesla è stato riscontrato in due diverse campagne: una italiana focalizzata sui “Pagamenti”, che si è servita di email con allegati XLAM, e una generica sul tema “Documenti”, propagata tramite email con allegati RAR.
Vidar ha fatto la sua comparsa nella succitata campagna italiana centrata sui “Pagamenti”, diffusa attraverso il sistema di Posta Elettronica Certificata (PEC) con allegati JS; questa minaccia è stata contrastata grazie alla collaborazione dei Gestori PEC.
Irata si è distinto per una campagna italiana che ha sfruttato il tema del “Banking”, distribuendo un APK malevolo tramite SMS. Adwind è stato identificato in una campagna italiana sul tema “Pagamenti”, che ha utilizzato email con allegati JAR come metodo di propagazione.
Infine, Remcos è stato osservato in una campagna generica incentrata sui “Documenti”, diffusa attraverso email contenenti allegati EXE.
Nel corso della settimana, le campagne di phishing hanno coinvolto un totale di 12 marchi noti, evidenziando una significativa diversificazione nelle tattiche dei cybercriminali. Tra questi, alcuni brand sono emersi come obiettivi preferenziali, attirando un numero particolarmente elevato di attacchi.
In cima alla lista troviamo le campagne mirate ai servizi di webmail, che hanno registrato un’incidenza notevole di 9 campagne. Subito dopo, con 4 campagne, Poste Italiane si è rivelata un bersaglio di primaria importanza, confermando la tendenza dei truffatori a sfruttare la fiducia dei clienti nei confronti di istituzioni finanziarie e postali ben consolidate.
Anche Aruba, noto fornitore di servizi web e hosting, ha subito 3 attacchi, probabilmente mirando a compromettere sia gli account degli utenti che potenzialmente i siti web ospitati. Lo stesso numero di episodi si registra per l’INPS (Istituto Nazionale della Previdenza Sociale) e AVG.
L’analisi settimanale delle campagne malevole ha rivelato un panorama diversificato in termini di tipologie di file dannosi e metodi di diffusione. Sono state identificate complessivamente 9 diverse estensioni di file impiegate dai cybercriminali.
I file eseguibili (EXE) si sono distinti per una frequenza leggermente superiore, essendo stati utilizzati in due occasioni separate.
Le altre estensioni, ciascuna rilevata una sola volta, comprendono XLAM, JS, 7Z e ZIP, APK, RAR, JAR e DOCX. Questa varietà sottolinea la versatilità delle tattiche adottate dai malintenzionati per eludere i sistemi di sicurezza.
Per quanto riguarda i vettori di diffusione, l’email tradizionale si è confermata lo strumento preferito dagli attaccanti, con ben 31 campagne distinte che hanno sfruttato questo canale. Ciò evidenzia come, nonostante l’evoluzione delle minacce informatiche, le tecniche di phishing via email rimangano estremamente efficaci.
In misura minore, ma comunque significativa, sono stati impiegati gli SMS, utilizzati in 3 occasioni separate, probabilmente per campagne di smishing mirate. Infine, si è registrato un singolo caso di utilizzo della Posta Elettronica Certificata (PEC).
Gen 18, 2019 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...