Il CERT-AGID ha identificato e analizzato un totale di 34 campagne malevole nella settimana del 25 novembre al 1° dicembre 2023. Di queste, 29 avevano obiettivi specifici in Italia, mentre 5 erano di natura generica ma comunque coinvolgevano l’Italia. Di seguito sono riportati i dettagli delle tipologie di campagne:
Temi Principali
I temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano sono stati 9. In particolare, sono stati rilevati:
- Banking: utilizzato per campagne di phishing e smishing rivolte principalmente a clienti di istituti bancari italiani, oltre a una campagna malware volta a diffondere SpyNote.
- Pagamenti: sfruttato per veicolare i malware AgentTesla, XWorm, Formbook, Anyplace e Guloader.
- Documenti: argomento per campagne malware WarzoneRAT, ChaosRAT, Remcos e Avemaria.
Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.
Famiglie di Malware
Sono state identificate 11 famiglie di malware, con particolare attenzione alle seguenti campagne:
- AgentTesla: sette campagne, tre taliane e quattro generiche, a tema “Pagamenti”, “Delivery” e “Acquisti”, veicolate tramite email con allegati PDF (con link a JS), RAR e IMG. In una campagna è stato osservato l’uso di CodigoLoader per rilasciare AgentTesla.
- Remcos: sono state contrastate due campagne italiane a tema “Documenti” e “Contratti”, veicolate tramite email con allegati DOCX e JS. Anche per Remcos è stato osservato l’uso di CodigoLoader.
- Formbook: due campagne generiche a tema “Pagamenti”, veicolate tramite email con allegati RAR.
- ChaosRAT: campagna italiana a tema “Documenti”, diffusa tramite email con allegati RAR contenenti JS malevoli.
- Avemaria: contrastata una campagna italiana veicolata tramite email con allegati file JS.
- Anyplace: individuata una campagna italiana diffusa tramite email con link a RAR.
- XWorm: rilevata una campagna italiana a tema “Pagamenti” diffusa tramite email con allegati 7Z contenenti JS.
- Wikiloader: individuata una campagna italiana a tema “Pagamenti” veicolata tramite email con allegati PDF contenenti link al download di file ZIP contenente file JS.
- SpyNote: contrastata una campagna italiana a tema “Banking”, veicolata tramite SMS con link a download di APK.
- Guloader: campagna italiana a tema “Pagamenti” diffusa tramite email con allegati RAR.
- WarzoneRAT: campagna italiana a tema “Documenti”, veicolata tramite email con allegati JS.
Brand Coinvolti
Sette brand, principalmente nel settore bancario italiano, sono stati coinvolti nelle campagne di phishing e smishing. Un’eccezione è la campagna di quishing che punta a pagine che riporta i loghi della Polizia di Stato.
Il CERT-AGID ha reso disponibili i relativi 390 indicatori di compromissione (IOC) ai suoi enti accreditati.
Nota: Le informazioni dettagliate sugli indicatori e sugli strumenti di controllo remoto sono disponibili sul sito web e sul canale Telegram del CERT-AGID.