Nella settimana da 30 settembre al 6 ottobre, il CERT-AgID ha riscontrato e analizzato, nel panorama italiano di suo riferimento, un totale di 29 campagne malevole. Di queste, 25 avevano specifici obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia nel loro raggio d’azione.
Le campagne malevole hanno sfruttato 8 temi diversi. In particolare, gli esperti hanno rilevato:
- Banking – Questo tema è stato utilizzato principalmente per le campagne di phishing e smishing dirette ai clienti di istituti bancari di matrice italiana e una campagna di smishing volta a veicolare SmsSpy, un malware per i dispositivi Android.
- Preventivo – Questo argomento è stato sfruttato per distribuire i malware Formbook, Agentesla, Lokibot e WarzoneRAT.
- Agenzia Entrate – Questo tema è stato utilizzato per le campagne malware Ursnif e PureLogs.
Gli altri temi sono stati impiegati per veicolare campagne di malware e phishing di vario tipo.
In questa settimana, sono emerse 8 famiglie di malware all’interno dello scenario italiano. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:
- AgentTesla – Sono state rilevate quattro campagne, di cui tre italiane e una generica. Queste campagne erano incentrate sui temi “Preventivo”, “Ordine” e “Pagamenti” e venivano diffuse attraverso email con allegati ZIP, RAR, XLAM e Z.
- Ursnif – Sono state contrastate due campagne in Italia a tema “Agenzia delle Entrate”, veicolate tramite e-mail con allegati o link a file ZIP. Ulteriori dettagli e indicatori di compromissione (IoC) sono stati condivisi tramite canali social come Telegram e Twitter.
- WarzoneRAT – È stata individuata una campagna generica centrata sul tema “Preventivo”, distribuita attraverso e-mail con allegati ZIP.
- Formbook – È stata rilevata una campagna generica collegata al tema “Preventivo” distribuita tramite email con allegati RAR.
- Pikabot – Una campagna italiana a tema “Resend” è stata contrastata. Questa campagna veniva diffusa tramite e-mail con un link a file XLL.
- Lokibot – È stata individuata una campagna generica a tema “Preventivo”, distribuita tramite email con allegati RAR.
- SmsSpy – È stata rilevata una campagna di smishing italiana a tema “Banking” mirata a compromettere dispositivi android e veicolata tramite SMS con link al download di file APK.
- Purelogs – È stata individuata una campagna italiana a tema “Agenzia Entrate”, distribuita tramite email con allegati TGZ. I dettagli e gli IoC della campagna sono stati pubblicati sui canali social Telegram e Twitter.
Inoltre, i i brand coinvolti in queste campagne sono stati 11, e hanno interessato principalmente il settore bancario italiano, con una campagna di phishing di particolare rilievo che sfrutta i loghi e il nome della Presidenza.
Il CERT-AgID ha messo a disposizione dei suoi enti accreditati i relativi 319 indicatori di compromissione (IOC) individuati.