CERT-AGID 24 Febbraio – 1 Marzo: 16 campagne malevole, Banking il tema più gettonato

Mar 04, 2024 Attacchi, Malware, Minacce, News, Phishing, Vulnerabilità

---

Nel periodo compreso tra il 24 febbraio e il 1° marzo, il CERT-AGID ha identificato e analizzato, all’interno del panorama nazionale, 16 operazioni malevole. Tra queste, 12 erano mirate esclusivamente a bersagli italiani, mentre altre 2, sebbene di portata più ampia, hanno ugualmente riguardato l’Italia. In risposta a queste rilevazioni, il CERT-AGID ha messo a disposizione delle istituzioni affiliate un totale di 143 indicatori di compromissione (IOC). Ecco un breve riassunto di quanto emerso.

Andamento settimanale

Nell’ultima settimana sono stati rilevati 9 argomenti chiave attraverso i quali sono state veicolate attività malevole in Italia. In particolare, il settore Banking ha dominato la scena con 6 iniziative, diventando il bersaglio prediletto per azioni di phishing e smishing dirette ai correntisti delle banche italiane. Inoltre, lo stesso ambito ha visto l’impiego in tre attacchi finalizzati a infettare dispositivi Android con i malware SpyNote ed Irata.

Il tema Pagamenti segue con 3 iniziative dannose, impiegato per diffondere i malware Remcos e Astaroth. Gli altri argomenti sono stati utilizzati singolarmente per promuovere diverse campagne di malware e phishing. Resend, Assistenza, Prestazioni, Ordine, Erogazioni, Documenti e un tema Generico sono stati i filoni coinvolti.

In dettaglio, i temi delle Erogazioni e delle Prestazioni sono stati sfruttati per attività di smishing legate all’INPS, mentre il tema Assistenza è stato utilizzato per una campagna riguardante l’Agenzia delle Entrate.

Malware della settimana

Nell’ultimo periodo, l’Italia è stata teatro dell’attività di sei differenti famiglie di malware, con alcune campagne che hanno suscitato particolare attenzione.

Tra queste, spiccano due operazioni di smishing incentrate sul tema Banking, con l’obiettivo di installare il malware SpyNote sui dispositivi Android degli utenti italiani. Allo stesso modo, sono state scoperte due campagne legate a Remcos, una di carattere generale e l’altra specificatamente italiana, entrambe focalizzate sui Pagamenti e diffuse mediante email con allegati nei formati GZ e ZIP.

AgentTesla si è manifestato attraverso due campagne nazionali legate a tema Ordine, con l’invio di email che contenevano allegati ZIP. È stata inoltre individuata una campagna italiana relativa ad Astaroth, ancora una volta connessa a Pagamenti, ma questa volta attraverso email con allegati ZIP che nascondevano file LNK.

Pikabot è emerso attraverso una campagna legata al tema del Resend, diffusa via email con allegati HTML che indirizzavano al download di un pacchetto ZIP tramite link a cartelle pubbliche (SMB). Infine, una campagna legata a Irata, sempre nel contesto bancario, è stata veicolata tramite SMS contenenti link per il download di APK malevoli.

Phishing della settimana

La settimana scorsa sono stati 4 i brand coinvolti in campagne di phishing e smishing. Le più colpite di tutte sono state le Poste (3) e INPS (2). A seguire, con 1 sola campagna, troviamo Agenzia Entrate e OneDrive.

I formati e i canali di diffusione

La scorso settimana sono stati impiegati 6 formati di file per la diffusione degli attacchi: al primo posto troviamo i file ZIP, utilizzati in 4 campagne, seguiti da APK, impiegati in 3 occasioni. Successivamente, con un singolo utilizzo ciascuno, si collocano i formati LNK, HTML, Z e GZ. Per quanto riguarda i metodi di trasmissione, sono stati principalmente 2, con l’email a dominare la scena in 10 campagne. Gli SMS, invece, sono stati utilizzati quattro volte.

---

• CERT-AGID, malware, Phishing, Smishing

---

---