Durante la settimana del 09 al 15 dicembre 2023, il CERT-AGID ha rilevato e analizzato un totale di 35 campagne malevole nello scenario italiano, di cui 34 con obiettivi specifici in Italia e una di natura generica, ma comunque rilevante per il territorio.
Sono stati identificati 9 temi utilizzati per veicolare le campagne malevole sul territorio italiano. Tra questi, in particolare:
- Banking: tema principalmente sfruttato per campagne di phishing e smishing rivolte ai clienti di istituti bancari italiani, nonché per una campagna malware finalizzata alla distribuzione di SpyNote.
- Resend: tema utilizzato per diffondere il malware Pikabot.
- Pagamenti: argomento utilizzato per le campagne malware AgentTesla.
Gli altri temi sono stati sfruttati per veicolare campagne di malware e phishing di vario tipo.
Sono state identificate 5 famiglie di malware, con particolare rilievo per le seguenti campagne:
- AgentTesla: sei campagne italiane a tema “Pagamenti” veicolate attraverso email con allegati GZ, 7Z, IMG, PDF (con link).
- Pikabot: quattro campagne italiane a tema “Resend” diffuse tramite email con allegati PDF contenenti link a ZIP contenenti file JS.
- SpyNote: contrastate due campagne di smishing, rispettivamente a tema “Banking” e “Delivery”, volte a installare il malware SpyNote sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione di ottobre e non l’ultima (di dicembre) con ulteriore livello di offuscamento.
- XWorm: due campagne italiane a tema “Ordine” e “Delivery” veicolate tramite email con allegati 7Z contenenti VBS.
- Formbook: una campagna generica a tema “Preventivo”, veicolata tramite email con allegati RAR.
I brand coinvolti nelle campagne di phishing e smishing sono stati 8, con focus particolare sul settore bancario italiano.
Il CERT-AGID ha fornito ai suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) identificati durante questa settimana.