Durante la settimana del 13 al 19 gennaio 2024, il CERT-AGID ha individuato e analizzato un totale di 17 campagne malevole nell’ambito italiano di suo. riferimento, di cui 12 mirate a obiettivi nazionali e 5 di natura generica, ma comunque impattanti sull’Italia.
Segue un dettaglio delle tipologie di campagne evidenziate nei grafici, basato sui dati estratti dalle piattaforme del CERT-AGID e consultabili attraverso la pagina delle Statistiche.
I temi predominanti della settimana comprendono 8 categorie utilizzate per diffondere le campagne malevole in Italia. In particolare, si evidenziano:
- Banking: questo tema è stato principalmente sfruttato per le campagne di phishing e smishing rivolte indirizzate ai clienti di istituti bancari italiani e per una campagna malware volta a distribuire IRATA.
- Pagamenti: utilizzato per le campagne malware Wikiloader, Remcos e per veicolare un malware sconosciuto che sfrutta UltraVNC da un dominio italiano.
- Ordine: tema sfruttato per le campagne malware AgentTesla.
Gli altri temi sono stati utilizzati per veicolare campagne di malware e phishing di vario tipo. Di particolare interesse è stata una campagna di Phishing Adattivo che abusa di IPFS e del servizio Google Web Light.
Per quanto riguarda i malware rilevati durante la settimana, sono state osservate 6 famiglie di malware in Italia. Tra queste, spiccano le seguenti campagne:
- AgentTesla: due campagne, una italiana e una generica, entrambe a tema “Ordine”, veicolate tramite e-mail con allegati IMG e ARJ. Nella campagna italiana è stato osservato l’uso di Guloader per il rilascio di AgentTesla.
- Wikiloader: una campagna generica a tema “Pagamenti” diffusa tramite e-mail con allegati file PDF contenenti link a ZIP da cui si estrae un JS malevolo.
- Unknown: una campagna italiana a tema “Pagamenti” è stata contrastata. Veniva veicolata tramite e-mail con link al download di un eseguibile ospitato su un dominio italiano. Il malware, non ancora identificato, è progettato per rilasciare ed eseguire UltraVNC insieme al file di configurazione contenente host e porta a cui collegarsi.
- Formbook: una campagna generica a tema “Hotel” è stata individuata, diffusa tramite e-mail con allegati RAR.
- Remcos: una campagna generica a tema “Pagamenti” è stata rilevata, veicolata tramite e-mail con allegati XLS.
- Irata: una campagna italiana a tema “Banking” è stata rilevata, volta a diffondere Irata, tramite SMS con link al download di un APK malevolo, al fine di compromettere dispositivi Android.
Per quanto riguarda il phishing, sono stati coinvolti 7 brand durante la settimana nelle campagne di phishing e smishing, concentrati principalmente nel settore bancario italiano.
Il CERT-AGID ha messo a disposizione dei suoi enti accreditati i relativi 163 indicatori di compromissione (IOC) individuati.