Aggiornamenti recenti Marzo 21st, 2025 4:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il ransomware Medusa usa un driver malevolo per bloccare le difese EDR
- Penetration testing, una volta ogni tanto non basta più: serve un approccio continuativo
- MirrorFace ha colpito un ente diplomatico europeo
- Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla pubblicazione
- ClickFix: torna la campagna di phishing che colpisce il settore turistico
CERT-AGID 01-07 febbraio: nuova ondata di attacchi Vidar e Poste Italiane sotto attacco
Questa settimana il CERT-AGID ha identificato e analizzato 55 campagne malevole e fornito 1053 indicatori di compromissione.
Questa settimana, il CERT-AGID ha identificato e analizzato 55 campagne malevole nel panorama italiano di sua competenza, di cui 28 mirate specificamente al Paese e 27 di carattere generico ma con impatti anche in Italia. Agli enti accreditati sono stati forniti 1053 indicatori di compromissione (IoC) rilevati.
I temi della settimana
Questa settimana sono stati individuati 20 temi utilizzati per condurre campagne malevole sul territorio italiano.
Tra i più rilevanti, il settore bancario (Banking) è stato al centro di numerose campagne di phishing via PEC, rivolte in particolare ai clienti di Intesa Sanpaolo, e di attacchi di smishing contro Poste Italiane. Lo stesso tema è stato sfruttato anche per diffondere i malware per smartphone Copybara, SpyNote e Irata.
Questa settimana il CERT-AGID ha identificato e analizzato 55 campagne malevole e fornito 1053 indicatori di compromissione.
Il settore dell’Assistenza è stato invece utilizzato per campagne di phishing via PEC ai danni dei clienti Aruba e per un’operazione di smishing volta a diffondere il malware TangleBot tramite un APK malevolo.
Un altro tema ricorrente è stato quello degli Ordini, sfruttato sia in attacchi mirati all’Italia sia in campagne di portata più ampia per diffondere malware come Modiloader, AgentTesla, PureLogs Stealer, Xworm, Formbook e Snake Keylogger.
Questo stesso argomento è stato anche il pretesto per una campagna di phishing ai danni della società internazionale Geo-Chem Middle East.
Tra gli eventi di particolare interesse, si segnala che nella notte del 2 febbraio 2025 è stata rilevata una nuova ondata di attacchi Vidar.
Questa è stata caratterizzata dall’impiego di tecniche di offuscamento avanzate per eludere le difese, dall’uso di un Domain Generation Algorithm (DGA) per generare dinamicamente indirizzi malevoli e dall’attivazione ritardata delle URL, una strategia che permette agli attaccanti di sfuggire ai sistemi di rilevamento.
Il CERT-AGID ha inoltre individuato due nuove campagne malevole rivolte agli utenti di Poste Italiane, una legata al tema “Banking” e l’altra al tema “Delivery”, entrambe finalizzate al furto di dati personali e finanziari delle vittime.
Fonte: CERT-AGID
Malware della settimana
Nel corso della settimana sono state individuate 16 famiglie di malware che hanno colpito l’Italia.
Tra le campagne più rilevanti, FormBook è stato diffuso attraverso una campagna italiana e cinque campagne generiche a tema “Prezzi”, “Ordine” e “Preventivo”, utilizzando email con allegati DOCX, ZIP, RAR, 7Z e LZH.
XWorm è stato rilevato in tre campagne generiche a tema “Documenti”, “Ordine” e “Booking”, veicolate tramite email con allegati PDF e RAR, sfruttando finti CAPTCHA per distribuire il payload.
Copybara è stato utilizzato in due campagne italiane e una generica legate al settore “Banking”, con la diffusione di APK malevoli tramite SMS. Modiloader è stato protagonista di una campagna italiana a tema “Fattura” e di una generica a tema “Ordine”, entrambe veicolate con email contenenti allegati GZ.
Remcos è stato individuato in una campagna italiana a tema “Documenti” e in una generica a tema “Fattura”, entrambe diffuse tramite email con allegati XLS. AgentTesla è stato distribuito attraverso due campagne generiche a tema “Ordine” e “Pagamenti”, sfruttando email con allegati RAR e IMG.
Fonte: CERT-AGID
AsyncRAT è stato rilevato in una campagna italiana a tema “Legale”, veicolata tramite email con link a file ZIP, e in una campagna generica a tema “Prezzi” con allegato PDF. Octo è stato protagonista di una campagna generica a tema “Deepseek”, diffusa tramite link a file APK.
Irata è stato individuato in una campagna italiana a tema “Banking”, con veicolazione dell’APK malevolo tramite SMS. Vidar è stato sfruttato in una campagna italiana a tema “Pagamenti”, veicolata attraverso email provenienti da caselle PEC compromesse con link a script JS malevolo.
SnakeKeylogger è stato diffuso con una campagna italiana a tema “Ordine”, tramite email con allegato ZIP. SpyNote ha colpito attraverso una campagna italiana a tema “Banking”, diffondendo l’APK malevolo via SMS.
Guloder è stato scoperto in una campagna generica a tema “Pagamenti”, distribuita con email contenenti allegato ZIP. Joker è stato rilevato in una campagna generica a tema “Cryptovalute”, veicolato tramite link a file APK.
TangleBot ha colpito con una campagna italiana a tema “Assistenza”, diffusa tramite SMS con link a file APK malevolo. Infine, PureLogs Stealer è stato individuato in una campagna generica a tema “Ordine”, diffusa tramite email con allegato CAB.
Phishing della settimana
Nel corso della settimana sono stati coinvolti 11 brand nelle campagne di phishing.
Tra i marchi maggiormente presi di mira spiccano Aruba, Intesa Sanpaolo, Zimbra e Poste Italiane, con numerose campagne che hanno cercato di ingannare gli utenti attraverso email fraudolente e messaggi ingannevoli.
Fonte: CERT-AGID
Come sempre, però, ancora più rilevante è stato l’elevato numero di campagne di phishing legate a servizi di webmail generici.
Un fenomeno, questo, che evidenzia come gli attaccanti puntino in modo sempre più sistematico al furto di credenziali, spesso sfruttandole come primo passo per ulteriori attacchi.
Formati e canali di diffusione
Il CERT-AGID ha messo in luce l’uso di 14 differenti tipologie di file per la diffusione di contenuti dannosi.
Tra i formati più sfruttati, spicca l’APK, utilizzato in ben 8 campagne malevole. Subito dopo troviamo i file compressi in formato ZIP e RAR, impiegati in 4 campagne ciascuno.
Il formato PDF è stato rilevato in 3 casi, mentre il formato GX è stato riscontrato 2 volte. Altri formati hanno avuto un impiego più limitato, ma non per questo meno significativo.
Tra questi, con una sola occorrenza ciascuno, figurano i file XLS, JS, LZH, 7Z, DLL, HTML, IMG, DOCX e CAB.
Fonte: CERT-AGID
Per quanto riguarda i canali di distribuzione, le email si confermano il principale vettore di attacco, coinvolte in ben 36 campagne malevole. Questo dato sottolinea ancora una volta l’efficacia del phishing e della diffusione di malware tramite allegati o link ingannevoli.
Le caselle PEC, pur avendo un livello di sicurezza superiore rispetto alla posta elettronica tradizionale, sono state comunque sfruttate per 10 campagne, segno che i cybercriminali stanno concentrando sempre più i loro sforzi anche su questo canale, consapevoli della fiducia che gli utenti ripongono nelle comunicazioni certificate.
Gli SMS sono invece stati come vettore d’attacco registrato in 7 campagne malevole. Sebbene meno frequente rispetto alle email, questo metodo sta acquisendo sempre maggiore rilevanza, in particolare per la diffusione di malware destinati agli smartphone, come quelli veicolati tramite APK.
Condividi l'articolo
La nuova feature di Brave può diventare molto pericolosa
Truffa milionaria a nome del Ministro della Difesa : c'è deepfake o no? Non importa...
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account... -
Indagine Zscaler: le aziende devono investire sulla... Le aziende temono gli attacchi informatici e la loro... -
Sul dark web ci sono oltre 2 milioni di carte di credito Secondo una recente analisi di Kaspersky, sul dark web sono...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il ransomware Medusa usa un driver malevolo per bloccare le... I ricercatori di Security Labs di Elastic hanno analizzato... -
MirrorFace ha colpito un ente diplomatico europeo MirrorFace, gruppo APT cinese allineato al governo, ha... -
Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla... Un grave bug che colpisce Apache Tomcat è sfruttato... -
ClickFix: torna la campagna di phishing che colpisce il... ClickFix è tornato alla carica: dopo essere apparsa per... -
CERT-AGID 8-14 marzo: contrastata una campagna malspam con... Nell’ultima settimana il CERT-AGID ha individuato 61...
Ransomware: la serie
No posts found.
