Aggiornamenti recenti Dicembre 1st, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi malware via SMS
- Ecco il tool gratuito per verificare se un IP fa parte di un botnet
- Gli LLM malevoli aiutano i piccoli cybercriminali, ma non sono (ancora) così pericolosi
- Codice formattato, ma migliaia di secret esposti: il problema del copia-incolla selvaggio
- Torna Shalai Ulud: centinaia di pacchetti compromessi
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi malware via SMS
Nel periodo compreso tra il 22 e il 28 novembre, il CERT-AGID ha analizzato 89 campagne malevole dirette verso utenti e organizzazioni italiane.
Di queste, 45 hanno preso di mira in modo esplicito il nostro Paese, mentre 44 campagne generiche hanno comunque coinvolto utenti italiani.
Gli enti accreditati hanno ricevuto 804 indicatori di compromissione (IoC) relativi alle minacce osservate nel periodo.
I temi della settimana
Sono 23 i temi sfruttati dai criminali informatici, con una forte prevalenza di phishing a tema multe, fatture, pagamenti, banking e ordini.
. Settimana segnata da operazioni mirate contro il personale sanitario della Sardegna, aumento dei fake PagoPA e nuove varianti mobile diffuse tramite SMS.
Il tema Multe domina la settimana con 15 campagne, tutte italiane e tutte basate su finte comunicazioni PagoPA. I messaggi, strutturati come avvisi di sanzioni stradali non pagate, mirano a indurre gli utenti a cliccare su link malevoli attraverso cui vengono richiesti dati personali e bancari.
Il tema Fattura, impiegato in sei campagne, è stato utilizzato per diffondere malware come FormBook, PhantomStealer, Grandoreiro, SnakeKeylogger e VipKeylogger. Contestualmente sono state osservate tre campagne di phishing generiche contro Office365 e ClicFacture.
Il tema Banking è comparso in cinque campagne di phishing, tutte italiane, che hanno sfruttato i nomi di Nexi, ING, Intesa Sanpaolo e Unicredit. Le attività malware collegate hanno diffuso varianti come SuperCardX, FormBook, Guloader e Herodotus, incluse versioni mobile veicolate via SMS.
Il tema Pagamenti, presente in nove campagne, ha combinato phishing e malware ai danni di InfoCert e RegisterDomainSA, oltre alla diffusione di Remcos, PhantomStealer, FormBook e RelayNFC.
Infine, il tema Ordine, anch’esso impiegato in nove campagne, è stato utilizzato esclusivamente per diffondere malware come AgentTesla, Nanocore, Guloader, XWorm e Remcos.
Tra gli eventi di particolare interesse, il CERT-AGID segnala varie campagne di phishing mirato indirizzate ai dipendenti delle Aziende Sanitarie della Regione Sardegna, con pagine fraudolente ospitate su Weebly che replicano form di login istituzionali e richiedono credenziali e dati personali.
Fonte: CERT-AGID
Nel corso della settimana l’Agenzia ha anche pubblicato un vademecum rivolto alle amministrazioni che conducono simulazioni interne di phishing, per evitare che tali attività vengano interpretate come operazioni malevole da CERT, CSIRT o SOC istituzionali.
Malware della settimana
Sono 16 le famiglie di malware rilevate tra il 22 e il 28 novembre. FormBook è stato impiegato in sei campagne generiche distribuite tramite allegati ZIP, RAR e DOCX, sfruttando i temi “Pagamenti”, “Fattura”, “Prezzi” e “Delivery”.
Remcos è comparso in una campagna italiana legata ai pagamenti, veicolata con un file LZH, e in cinque campagne generiche che hanno utilizzato documenti XLS, RAR, ZIP e GZ.
AgentTesla ha diffuso tre campagne italiane a tema “Ordine” e una generica a tema “Booking”, sfruttando allegati 7Z, TAR, RAR e GZ.
Guloader è stato osservato in due campagne italiane (“Ordine” e “Banking”) e in due generiche (“Preventivo” e “Booking”), con allegati DOCX, HTML e RAR.
XWorm è comparso in una campagna italiana a tema “Booking”, diffusa tramite script JS, e in due campagne generiche legate agli “Aggiornamenti” e agli “Ordini”.
Fonte: CERT-AGID
Il CERT-AGID segnala inoltre una serie di campagne mobile distribuite tramite SMS contenenti link a file APK malevoli. Tra queste compaiono Herodotus e SuperCardX, entrambe italiane e con tema “Banking”, oltre alle campagna generiche Albiriox a tema “Aggiornamenti” e a quella RelayNFC a tema “Pagamenti”.
Completano il quadro diverse campagne generiche che hanno diffuso Grandoreiro, SnakeKeylogger, VipKeylogger, DarkCloud e LummaStealer, quasi sempre tramite file ZIP o ISO.
Phishing della settimana
Sono 23 i brand coinvolti nelle campagne di phishing analizzate.
Le più ricorrenti hanno sfruttato i nomi di PagoPA e delle webmail non brandizzate, confermate come uno dei canali più utilizzati dai criminali per sottrarre credenziali.
Formati e canali di diffusione
Gli archivi compressi restano il principale vettore di distribuzione dei contenuti malevoli. Nel periodo osservato sono state rilevate 14 tipologie di file, con RAR al primo posto (8 utilizzi), seguito da ZIP (7).
I formati HTML, 7Z e APK compaiono 4 volte, mentre DOCX è stato utilizzato in 3 campagne.
Fonte: CERT-AGID
Seguono GZ, XLS ed EXE con 2 utilizzi ciascuno, e infine JS, VBS, TAR, LZH e ISO con un solo impiego.
La posta elettronica rimane il vettore più utilizzato, con 86 campagne, mentre 3 operazioni sono state condotte via SMS.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,... -
Ecco il tool gratuito per verificare se un IP fa parte di... GreyNoise ha recentemente annunciato il rilascio di... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo...
-
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia...
-
Torna Shalai Ulud: centinaia di pacchetti compromessi I ricercatori di Wiz Threat Research e Aikido hanno...
Ransomware: la serie
No posts found.