Nella settimana appena trascorsa, il CERT-AgID ha riscontrato e analizzato nello scenario italiano di suo riferimento un totale di 47 campagne malevole, di cui 46 con obiettivi italiani e una generica che ha comunque interessato l’Italia.
I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 6. In particolare:
- Banking– tema utilizzato per le campagne di phishing e smishing rivolte ai clienti di istituti bancari di matrice italiana e per una campagna malware Remcos rivolta a clienti BPM.
- Pagamenti– tema sfruttato per diffondere i malware AgentTesla, Strela, Avemaria e Remcos.
- Riattivazione– Argomento utilizzato per le campagne di phishing INPS volte a sottrarre documenti di identità e per phishing mirato al furto di credenziali di accesso a Webmail.
Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.
Nello scenario italiano sono state osservate 6 famiglie di malware. Nello specifico, di particolare rilievo, le seguenti campagne:
- Strela –Rilevate tre campagne italiane a tema “Pagamenti” diffuse tramite email con allegati ZIP e TTP differenti. Il C2 (localizzato in Russia) resta lo stesso dalla prima campagna Strela individuata in Italia.
- Remcos –Contrastate due campagne italiane a tema “Banking” e “Pagamenti” veicolate tramite email allegati ZIP.
- AgentTesla – Rilevate due campagne, di cui una italiana ed una generica, rispettivamente a tema “Ordine” e “Pagamenti”, diffuse tramite email con allegati DOC (RTF con exploit Equation Editor) e LZH contenenti JS.
- Avemaria – Campagna italiana a tema “Pagamenti” veicolata tramite email con allegati Z.
- Qakbot – Individuata una campagna italiana a tema “Resend” diffusa tramite email con allegati PDF con link a file JS malevolo.
- IcedId – Campagna italiana a tema “Resend” diffusa tramite email con allegati PDF contenenti un link al download di un file JS malevolo (come Qakbot).
Su un totale di 37 campagne di phishing (e smishing) sono stati 14 i brand coinvolti che interessano principalmente il settore bancario. Di particolare interesse questa settimana una campagna di phishing adattiva volta a sottrarre credenziali di account PEC.
Il CERT-AgID ha messo a disposizione dei suoi enti accreditati i relativi 666 indicatori di compromissione (IOC) individuati.