Il CERT-AGID ha identificato e analizzato un totale di 34 campagne malevole nella settimana del 25 novembre al 1° dicembre 2023. Di queste, 29 avevano obiettivi specifici in Italia, mentre 5 erano di natura generica ma comunque coinvolgevano l’Italia. Di seguito sono riportati i dettagli delle tipologie di campagne:

Temi Principali

I temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano sono stati 9. In particolare, sono stati rilevati:

  1. Banking: utilizzato per campagne di phishing e smishing rivolte principalmente a clienti di istituti bancari italiani, oltre a una campagna malware volta a diffondere SpyNote.
  2. Pagamenti: sfruttato per veicolare i malware AgentTeslaXWormFormbookAnyplace e Guloader.
  3. Documenti: argomento per campagne malware WarzoneRATChaosRAT, Remcos e Avemaria.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Famiglie di Malware

Sono state identificate 11 famiglie di malware, con particolare attenzione alle seguenti campagne:

  1. AgentTesla: sette campagne, tre taliane e quattro generiche, a tema “Pagamenti”, “Delivery” e “Acquisti”, veicolate tramite email con allegati PDF (con link a JS), RAR e IMG. In una campagna è stato osservato l’uso di CodigoLoader per rilasciare AgentTesla.
  2. Remcos: sono state contrastate due campagne italiane a tema “Documenti”“Contratti”, veicolate tramite email con allegati DOCX e JS. Anche per Remcos è stato osservato l’uso di CodigoLoader.
  3. Formbook: due campagne generiche a tema “Pagamenti”, veicolate tramite email con allegati RAR.
  4. ChaosRAT: campagna italiana a tema “Documenti”, diffusa tramite email con allegati RAR contenenti JS malevoli.
  5. Avemaria: contrastata una campagna italiana veicolata tramite email con allegati file JS.
  6. Anyplace: individuata una campagna italiana diffusa tramite email con link a RAR.
  7. XWorm: rilevata una campagna italiana a tema “Pagamenti” diffusa tramite email con allegati 7Z contenenti JS.
  8. Wikiloader: individuata una campagna italiana a tema “Pagamenti” veicolata tramite email con allegati PDF contenenti link al download di file ZIP contenente file JS.
  9. SpyNote: contrastata una campagna italiana a tema “Banking”, veicolata tramite SMS con link a download di APK.
  10. Guloader: campagna italiana a tema “Pagamenti” diffusa tramite email con allegati RAR.
  11. WarzoneRAT: campagna italiana a tema “Documenti”, veicolata tramite email con allegati JS.

 Brand Coinvolti

 Sette brand, principalmente nel settore bancario italiano, sono stati coinvolti nelle campagne di phishing e smishing. Un’eccezione è la campagna di quishing che punta a pagine che riporta i loghi della Polizia di Stato.

Il CERT-AGID ha reso disponibili i relativi 390 indicatori di compromissione (IOC) ai suoi enti accreditati.

 Nota: Le informazioni dettagliate sugli indicatori e sugli strumenti di controllo remoto sono disponibili sul sito web e sul canale Telegram del CERT-AGID.

 

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE