In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 104 campagne malevole, di cui 73 con obiettivi italiani e 31 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 828 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Multe – Tema impiegato sfruttato in 26 campagne di phishing italiane, tutte veicolate tramite email che si fingono comunicazioni di contravvenzioni non saldate e abusano del nome di PagoPA.
2. Banking – Tema utilizzato in 13 campagne di phishing italiane rivolte principalmente a clienti di istituti bancari e di credito, come Intesa Sanpaolo, Klarna, BNL, Credit Agricole, Mooney, Nexi e PayPal. Il tema è stato inoltre usato per diffondere Copybara, FormBook, Herodotus e RelayNFC.
3. Ordine – Tema utilizzato per veicolare numerosi malware, fra cui AgentTesla, Remcos, AsyncRat, MassLogger, UpCrypter e XWorm. Inoltre, sono state rilevate tre campagne di phishing ai danni di Amazon e Microsoft.
4. Rinnovo – Argomento sfruttato per otto campagne di phishing italiane ai danni di Aruba, Netflix, Tessera Sanitaria e l’Università della Basilicata.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• È stata individuata una campagna di phishing mirato, ospitata tramite Wix, che si finge il portale per l’accesso all’area riservata dell’Università della Basilicata. Le comunicazioni fraudolente rimandano a una pagina mirata a sottrarre le credenziali che adotta lo stesso template già osservato in recenti campagne contro altri atenei italiani.
• Il CERT-AGID ha pubblicato un paper sull’uso di workflow agentici per analisi di malware. Lo studio mostra come questi sistemi possano orchestrare strumenti, leggere artefatti complessi e sostenere sessioni iterative di analisi, mettendo in evidenza le criticità principali.

Malware della settimana

Sono state individuate, nell’arco della settimana, 12 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Individuate due campagne italiane a tema “Ordine” e otto campagne generiche a tema “Contratti”, “Delivery”, “Pagamenti”,“Ordine” distribuite con allegati RAR, ZIP, TAR, GZ e IMG.
2. Remcos – Rilevate una campagna italiana ad argomento “Ordine” e quattro campagne generiche ad argomento “Documenti”, “Ordine” e “Prezzi” diffuse con allegati 7Z, RAR e ZIP.
3. XWorm – Scoperte una campagna italiana a tema “Ordine” e tre campagne generiche a tema “Prezzi”, “Preventivo” e “Delivery” veicolate mediante allegati ZIP, RAR e 7Z.
4. FormBook – Osservate tre campagne generiche a tema “Fattura”, “Contratti” e “Banking” diffuse tramite email contenenti allegati RAR, ZIP e 7Z.
5. AsyncRat – Individuate una campagna italiana a tema “Fattura” e una generica a “Ordine”, entrambe distribuite tramite link che permette il download di archivio ZIP.
6. Osservate due campagne italiane Copybara e Herodotus e una campagna generica RelayNFC a tema “Banking”, veicolate tramite SMS contenenti link per il download di APK malevoli per dispositivi Android.
7. Rilvate infine due campagne italiane Guloader e UpCrypter e due campagne generiche MassLogger e Purecrypter che hanno sfruttato gli argomenti “Documenti”, “Ordine” e “Pagamenti” e sono state veicolate con allegati ZIP, RAR o HTML.

Phishing della settimana

Sono 28 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema PagoPA oltre alle campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche