In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 130 campagne malevole, di cui 97 con obiettivi italiani e 33 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 849 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento del mese di giugno 2026

I temi più rilevanti della settimana

Sono 19 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Multe – Argomento sfruttato in 49 campagne di phishing italiane, tutte veicolate tramite email o SMS che si fingono comunicazioni di contravvenzioni non saldate e abusano dei nomi di PagoPA e SEND.
2. Banking – Tema ricorrente impiegato per 22 campagne di phishing italiane rivolte a clienti di istituti bancari come ING, Intesa Sanpaolo, PayPal, Klarna, Unicredit e Mooney. Usato inoltre per veicolare il malware BingoMod.
3. Rinnovo – Argomento impiegato in sette campagne di phishing italiane e sette generiche ai danni di ai danni vari registrar e servizi di hosting web come Aruba, Wix, SiteGround, Host.it e Register.
4. Fattura – Tema sfruttato in tre campagne di phishing generiche via email ai danni di cPanel e FedEx. Utilizzato, inoltre, per diffondere il malware PhantomGate.
5. Ordine – Argomento impiegato per veicolare svariati malware, fra cui FormBook, PhantomStealer e Remcos.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• In lieve calo rispetto alle settimane precedenti, ma comunque numerose, le campagne a tema “Multe” che abusano delle grafiche e dei loghi di PagoPA e SEND. I messaggi, diffusi via email o SMS, si presentano come solleciti di pagamento relativi a presunte sanzioni stradali non saldate, con toni formali e riferimenti apparentemente credibili (importi, numeri di pratica, scadenze imminenti). L’obiettivo finale è quello di indurre la vittima a inserire gli estremi della propria carta di credito.
• Il CERT-AGID ha individuato e contrastato tre campagne di smishing ai danni di utenti INPS, finalizzate a impossessarsi di dati lavorativi e reddituali delle vittime (tra cui buste paga e CUD). Il sito malevolo richiede inoltre il caricamento di documenti identificativi (carta di identità e tessera sanitaria) e selfie dell’utente.

Malware della settimana

Sono state individuate, nell’arco della settimana, 9 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. PhantomStealer – Rilevate tre campagne generiche a tema “Ordine” e “Booking” diffuse tramite file ZIP e RAR.
2. AgentTesla – Individuate una campagna italiana a tema “Scadenze” distribuita con allegato RAR e una campagna generica “Pagamenti” diffusa con file UU.
3. FormBook – Scoperte due campagne generiche ad argomento “Ordine” veicolate attraverso ZIP e GZ.
4. BingoMod – Osservata una campagna italiana “Banking” distribuita tramite SMS contenenti link per il download dell’APK malevolo per dispositivi Android.
5. NeptuneRat – Rilevata una campagna italiana ad argomento “Fattura” veicolata tramite allegato HTML.
6. PhantomGate – Individuata una campagna italiana a tema “Fattura” diffusa mediante ZIP.
7. Remcos – Scoperta una campagna generica “Ordine” distribuita con allegato XLS.
8. SnakeKeylogger – Osservata una campagna generica a tema “Ordine” diffusa con archivio RAR.
9. XWorm – Rilevata una campagna generica ad argomento “Preventivo” veicolata mediante allegato ZIP.

Phishing della settimana

Sono 30 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema SEND, PagoPA e ING.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche