Nella settimana dal 2 all’8 novembre, il CERT-AGID ha identificato 41 campagne malevole in Italia, 26 delle quali mirate a obiettivi italiani e 15 di natura generica che hanno comunque coinvolto il territorio nazionale. Parallelamente, il CSIRT Italia ha pubblicato il report relativo ai dati rilevati durante la sua settimana cibernetica, tra cui la diffusione di un nuovo trojan bancario e una campagna malevola che sfrutta il tema dell’Agenzia per la Cybersicurezza Nazionale (ACN) per colpire gli utenti.
Temi principali delle campagne malevole in Italia
I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 20. Tra i principali:
- Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
- Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che distribuiscono i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
- Avvisi di sicurezza – Argomento utilizzato in una campagna generica di phishing ai danni di AVG e in due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
- Documenti – Tema sfruttato per una campagna di phishing generica ai danni di utenti Microsoft, per una italiana che simula una comunicazione di una Webmail e per una campagna italiana di phishing ai danni di utenti Telegram.
Gli altri temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.
Eventi significativi:
- Malspam PEC: nuova ondata italiana di email PEC malevole per distribuire il malware Vidar tramite link al download di file VBS. CERT-AGID, insieme ai gestori PEC, ha attivato misure di contrasto.
- Phishing contro l’Università di Pisa: identificata una campagna di phishing che utilizza una falsa pagina con il logo dell’ateneo per sottrarre le credenziali di accesso degli utenti. La pagina fraudolenta è ospitata su un dominio Weebly. CERT-AGID ha condiviso gli indicatori di compromissione (IoC) e richiesto il takedown del sito fraudolento.
- Phishing su Telegram: scoperta una campagna di phishing italiana veicolata tramite chat Telegram che tenta di impossessarsi delle sessioni degli utenti. Le vittime ricevono messaggi che invitano a cliccare su un link. Dettagli sono stati diffusi sul canale Telegram ufficiale del CERT-AGID.
Malware della settimana
Le famiglie di malware che hanno colpito il Paese sono state otto. Tra le campagne malware più rilevanti:
- AgentTesla – Diffuso tramite email a tema “Ordine” e “Preventivo” con allegati ZIP e TAR.
- FormBook – Rilevato in una campagna italiana a tema “Contratti”, diffuso tramite email con allegati IMG.
- Vidar – Distribuito via PEC a tema “Pagamenti” con link al download di VBS.
- Irata –Scoperta una campagna italiana a tema “Bankin” che veicola l’APK malevolo tramite SMS.
- Remcos – diffuso tramite una campagna generica a tema “Ordine”, via email con allegato RAR.
- VIPKeylogger – Diffuso tramite campagna italiana a tema “Ordine”, via email con allegato DOC.
- BingoMod – Sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
- Snake Keylogger – Distribuito tramite email a tema “Ordine” con allegato Z.
I brand sfruttati nelle campagne di phishing sono stati 17, con prevalenza per Aruba, Zimbra, Microsoft e Webmail generica.
Aggiornamenti dal CSIRT Italia
Il CSIRT Italia ha pubblicato il report delle notizie relative alla diffusione in Italia del nuovo trojan bancario denominato “ToxicPanda” e della campagna malevola che sfrutta il nome dell’Agenzia per la Cybersicurezza Nazionale (ACN), nonché di tutti gli aggiornamenti di sicurezza segnalati per diversi prodotti, tra cui Palo Alto Networks, Google, Synology, Veeam, Netgear, Cisco, Android, e QNAP. In particolare, è stato segnalato l’aumento di rischio per vulnerabilità (CVE) nei seguenti prodotti:
- Ivanti CSA: CVE-2024-8963
- IBM Operational Decision Manager: CVE-2024-22319
- Plugin WordPress “Paid Memberships Pro”: CVE-2023-23488 (PoC disponibile)
Raccomandazioni
CERT-AGID ha condiviso con gli enti accreditati 255 indicatori di compromissione per aiutare nella prevenzione e nel contrasto delle minacce. Il CSIRT Italia raccomanda di aggiornare i prodotti coinvolti per ridurre il rischio di attacchi.
Per maggiori dettagli, si rimanda ai seguenti link:
https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-novembre-2024