Aggiornamenti recenti Dicembre 15th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 6–12 dicembre: cresce l’uso di Figma e Webflow nel phishing
- Apple interviene su due zero-day sfruttati attivamente in attacchi mirati
- Misterioso guasto satellitare: centinaia di Porsche “bloccate” in Russia
- Patch Tuesday, Microsoft risolve una vulnerabilità già sfruttata e due zero-day
- Prompt injection, un problema che potrebbe non venire mai risolto. La visione dell’NCSC
CERT-AGID 6–12 dicembre: cresce l’uso di Figma e Webflow nel phishing
Nel periodo compreso tra il 6 e il 12 dicembre, il CERT-AGID ha rilevato e analizzato 62 campagne malevole che hanno interessato il territorio italiano.
Di queste, 25 hanno avuto obiettivi specificamente italiani, mentre 37 campagne di natura generica hanno comunque coinvolto utenti e organizzazioni nel Paese.
Nel complesso, sono stati messi a disposizione degli enti accreditati 1.293 indicatori di compromissione (IoC).
I temi della settimana
Sono 22 i temi sfruttati per la diffusione di malware e phishing, con la consueta attenzione su temi quali banking, ordini, verifiche e pagamenti.
Il CERT-AGID ha rilevato 62 campagne malevole in Italia, ed emesso 1.293 indicatori di compromissione.
Il tema Banking è stato utilizzato in sette campagne malware generiche finalizzate alla diffusione di FvncBot, ClayRat, Anatsa, Albiriox, DroidLock e PhantomStealer, tutte mirate al furto di credenziali e informazioni finanziarie, in particolare su dispositivi mobili.
Parallelamente è stata osservata una campagna di phishing italiana ai danni di Intesa Sanpaolo, che conferma l’attenzione costante verso i clienti bancari.
Il tema Ordine ha interessato cinque campagne, sia italiane che internazionali, tutte orientate alla distribuzione di malware come AgentTesla, FormBook, PhantomStealer, XWorm e Remcos.
Lo stesso tema è stato sfruttato anche in due operazioni di phishing rivolte a utenti OneDrive e a servizi di webmail generici, sfruttando la consueta leva degli acquisti e delle spedizioni.
Il tema Verifica è comparso in cinque campagne di phishing, due delle quali italiane, che hanno abusato del nome di American Express, Roundcube, Nexi e cPanel, simulando richieste di controllo o aggiornamento degli account per indurre le vittime a inserire le proprie credenziali.
Il tema Pagamenti, osservato in quattro campagne di phishing, ha preso di mira DocuSign, Autostrade per l’Italia e InfoCert. Una campagna generica parallela ha invece diffuso il malware DarkCloud.
Tra gli eventi di particolare interesse, il CERT-AGID segnala una campagna di phishing che sfrutta nome e logo della Polizia di Stato per sottrarre credenziali email.
L’operazione si distingue per l’uso di un endpoint API di Webflow, utilizzato dagli attaccanti per ottenere in modo automatico i dati inseriti dalle vittime.
Fonte: CERT-AGID
È stata inoltre rilevata una campagna mirata contro studenti e personale di atenei italiani, che utilizza come esca una mail con oggetto “R: Urgente – Elenco dei borsisti”.
Il link presente nel messaggio conduce a una pagina che replica il logo del Ministero dell’Università e della Ricerca (MUR) e successivamente reindirizza verso un falso portale di login Microsoft, dove avviene il furto delle credenziali istituzionali.
Infine, a partire dall’8 dicembre, è in corso una campagna che sfrutta account email compromessi della Pubblica Amministrazione per colpire in modo massivo altri destinatari appartenenti alla PA, mediante invii in CCN.
I messaggi contengono allegati PDF con link a risorse ospitate su Figma, sfruttando la fiducia nella filiera istituzionale per sottrarre credenziali o diffondere ulteriori payload malevoli.
Malware della settimana
Nel corso della settimana sono state individuate 14 famiglie di malware attive in Italia.
AgentTesla è stato osservato in una campagna italiana a tema “Fattura” e in quattro campagne generiche legate a “Ordine”, “Fattura”, “Contratti” e “Prezzi”, veicolate tramite allegati TAR, RAR e LZH.
FormBook ha colpito attraverso una campagna italiana a tema “Ordine” con allegato DOCX e due campagne generiche “Prezzi” distribuite tramite RAR e XLSX.
Fonte: CERT-AGID
Remcos è stato utilizzato in una campagna italiana e in due generiche a tema “Booking” e “Fattura”, veicolate con allegati DOCX e 7Z.
DarkCloud compare in due campagne generiche a tema “Prezzi” e “Pagamenti”, mentre Guloader è stato osservato in una campagna italiana “Contratti” e in una generica “Delivery”.
PhantomStealer è stato individuato in due campagne generiche che hanno sfruttato i temi “Banking” e “Ordine”. In entrambi i casi il malware è stato distribuito tramite email contenenti allegati RAR.
Rilevante anche la presenza di numerose campagne malware per dispositivi Android, che diffondono Albiriox, Anatsa, ClayRat, DroidLock e FvncBot tramite SMS con link a file APK dannosi, tutte concentrate sul tema Banking.
Completano il quadro alcune campagne generiche che hanno diffuso Grandoreiro, Obj3ctivity e XWorm, utilizzando allegati XLAM, JS e ISO inviati via email.
Phishing della settimana
Sono 22 i brand coinvolti nelle campagne di phishing analizzate.
Fonte: CERT-AGID
Per numerosità spiccano le operazioni che sfruttano i nomi di cPanel e PagoPA, insieme alle sempre presenti campagne di webmail non brandizzate, ancora largamente utilizzate per il furto di credenziali.
Formati e canali di diffusione
Gli archivi compressi restano lo strumento principale per la diffusione dei contenuti malevoli.
Nel periodo osservato sono state individuate 13 tipologie di file, con APK al primo posto (7 utilizzi), seguiti da RAR e TAR (4).
Fonte: CERT-AGID
Seguono DOCX (3) e 7Z, ZIP e JS (2). Con un solo utilizzo figurano ISO, XLSX, XLS, LZH, PDF e XLAM.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),... -
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 6–12 dicembre: cresce l’uso di Figma e... Nel periodo compreso tra il 6 e il 12 dicembre,... -
Apple interviene su due zero-day sfruttati attivamente in... Apple ha rilasciato degli aggiornamenti di sicurezza... -
Misterioso guasto satellitare: centinaia di Porsche... Panico in Russia: centinaia di Porsche sono rimaste... -
Patch Tuesday, Microsoft risolve una vulnerabilità già... Nel bollettino del Patch Tuesday di dicembre Microsoft ha... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),...
Ransomware: la serie
No posts found.