Aggiornamenti recenti Ottobre 9th, 2024 5:18 PM
Set 16, 2024 Stefano Silvestri Attacchi, Gestione dati, Hacking, Intrusione, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0
Nel corso dell’ultima settimana, il CERT-AGID ha effettuato la consueta analisi dello scenario di sicurezza informatica italiano.
L’indagine ha portato alla luce un totale di 39 campagne malevole. Di queste, 18 erano specificamente dirette verso obiettivi italiani, mentre le restanti 21, pur essendo di natura più generica, hanno comunque avuto ripercussioni sul territorio nazionale.
Come risultato di questa approfondita analisi, il CERT-AGID è riuscito a identificare ben 350 indicatori di compromissione (IoC) associati a queste minacce. Questi sono stati tempestivamente condivisi con gli enti accreditati, fornendo loro strumenti essenziali per potenziare le proprie difese e reagire in modo efficace alle potenziali minacce informatiche.
Nel corso di questa settimana, sono emersi 14 temi principali utilizzati per diffondere campagne malevole in Italia. Tra questi, il tema del Rinnovo è stato sfruttato per diverse campagne di phishing italiane contro Aruba e per alcune campagne generiche ai danni di Wix e AVG.
Il tema Aggiornamenti è stato il pretesto per una campagna generica di phishing contro cPanel e per la diffusione dei malware LummaC e dcRat. Il tema dei Pagamenti è stato impiegato in campagne italiane di phishing contro Aruba e WeTransfer, oltre che per veicolare i malware Remcos e WinVNCRat.
Il tema Avvisi di sicurezza è stato utilizzato in diverse campagne italiane di phishing contro PayPal e Zimbra, nonché in campagne generiche contro AVG e Roundcube.
Il tema dell’Ordine è stato sfruttato per diffondere vari malware, tra cui AgentTesla, Remcos e Formbook. I restanti temi sono stati impiegati per veicolare diverse tipologie di campagne malware e phishing.
Tra gli eventi di particolare interesse, sono state identificate nuove campagne di phishing che utilizzano un bot Telegram come centro di comando e controllo (C2), con una struttura simile a campagne precedentemente analizzate.
Inoltre, è stata osservata una massiccia campagna mirata a diffondere il malware AgentTesla attraverso email e link condivisi. Il file malevolo, presentato con vari nomi come Enquiry.js e DHL-RECEIPT.js, mostra notevoli somiglianze con il dropper precedentemente utilizzato per propagare l’infostealer PXRECVOWEIWOEI, già oggetto di precedenti analisi.
Nel corso della settimana sono state identificate otto famiglie di malware che hanno colpito l’Italia. Tra queste, come scrivevamo ha avuto particolare rilevanza quella di AgentTesla, diffuso attraverso cinque campagne italiane e quattro generiche, sfruttando temi come “Documenti”, “Pagamenti”, “Preventivo”, “Ordine” e “Delivery”. Queste campagne hanno utilizzato email con allegati di vario tipo, tra cui BAT, JS, GZ, SCR, RAR e Z.
LummaC è stato propagato mediante tre campagne generiche incentrate sul tema “Aggiornamenti”, utilizzando email con allegati EXE. Remcos è stato distribuito attraverso tre campagne generiche sui temi “Documenti”, “Pagamenti” e “Ordine”, servendosi di email con allegati 7Z e link LHZ.
dcRat è stato veicolato da due campagne generiche sul tema “Aggiornamenti”, sempre tramite email con allegati EXE. Umbral è stato diffuso mediante una campagna generica che utilizzava email con allegato EXE.
Irata ha colpito l’Italia con una campagna sul tema “Banking”, diffondendo un APK malevolo tramite SMS. WinVNCRAT è stato propagato attraverso una campagna italiana sul tema “Pagamenti”, utilizzando email con allegati ZIP. Infine, FormBook è stato distribuito mediante una campagna italiana sul tema
Durante questa settimana, le campagne di phishing hanno coinvolto dodici marchi noti. Tra questi, si sono distinte per la loro frequenza le campagne che hanno preso di mira Aruba, AVG, Poste Italiane e cPanel.
Tuttavia, il fenomeno più preoccupante è stato rappresentato dalle numerose campagne di phishing non associate a marchi specifici, ma dirette verso servizi di webmail generici. Queste ultime si sono rivelate particolarmente insidiose, poiché il loro obiettivo primario era l’acquisizione illecita di dati sensibili degli utenti.
L’esame delle campagne malevole ha riscontrato quindici differenti formati di file. I file EXE hanno dominato la scena, essendo stati impiegati in quattro distinte occasioni. Gli altri formati come DLL, Z, BAT, GZ, SCR, APK, JS, PS1, SHTML, ZIP, LZH, 7Z, Xz e RAR sono stati utilizzati una sola volta ciascuno, contribuendo alla diversificazione delle minacce.
Riguardo alle modalità di propagazione, le email hanno mantenuto il primato come canale prediletto dai cybercriminali, con trentasette campagne separate che hanno sfruttato questo mezzo di comunicazione.
Gli SMS sono stati impiegati in due casi, dimostrando che anche i dispositivi mobili rimangono un obiettivo per le attività malevole. È interessante notare che non è stato registrato alcun uso della Posta Elettronica Certificata (PEC) per la diffusione di minacce.
Ott 09, 2024 0
Ott 07, 2024 0
Ott 02, 2024 0
Set 30, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 04, 2024 0
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...