Aggiornamenti recenti Settembre 18th, 2024 10:52 AM
Set 16, 2024 Stefano Silvestri Attacchi, Gestione dati, Hacking, Intrusione, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0
Nel corso dell’ultima settimana, il CERT-AGID ha effettuato la consueta analisi dello scenario di sicurezza informatica italiano.
L’indagine ha portato alla luce un totale di 39 campagne malevole. Di queste, 18 erano specificamente dirette verso obiettivi italiani, mentre le restanti 21, pur essendo di natura più generica, hanno comunque avuto ripercussioni sul territorio nazionale.
Come risultato di questa approfondita analisi, il CERT-AGID è riuscito a identificare ben 350 indicatori di compromissione (IoC) associati a queste minacce. Questi sono stati tempestivamente condivisi con gli enti accreditati, fornendo loro strumenti essenziali per potenziare le proprie difese e reagire in modo efficace alle potenziali minacce informatiche.
Nel corso di questa settimana, sono emersi 14 temi principali utilizzati per diffondere campagne malevole in Italia. Tra questi, il tema del Rinnovo è stato sfruttato per diverse campagne di phishing italiane contro Aruba e per alcune campagne generiche ai danni di Wix e AVG.
Il tema Aggiornamenti è stato il pretesto per una campagna generica di phishing contro cPanel e per la diffusione dei malware LummaC e dcRat. Il tema dei Pagamenti è stato impiegato in campagne italiane di phishing contro Aruba e WeTransfer, oltre che per veicolare i malware Remcos e WinVNCRat.
Il tema Avvisi di sicurezza è stato utilizzato in diverse campagne italiane di phishing contro PayPal e Zimbra, nonché in campagne generiche contro AVG e Roundcube.
Il tema dell’Ordine è stato sfruttato per diffondere vari malware, tra cui AgentTesla, Remcos e Formbook. I restanti temi sono stati impiegati per veicolare diverse tipologie di campagne malware e phishing.
Tra gli eventi di particolare interesse, sono state identificate nuove campagne di phishing che utilizzano un bot Telegram come centro di comando e controllo (C2), con una struttura simile a campagne precedentemente analizzate.
Inoltre, è stata osservata una massiccia campagna mirata a diffondere il malware AgentTesla attraverso email e link condivisi. Il file malevolo, presentato con vari nomi come Enquiry.js e DHL-RECEIPT.js, mostra notevoli somiglianze con il dropper precedentemente utilizzato per propagare l’infostealer PXRECVOWEIWOEI, già oggetto di precedenti analisi.
Nel corso della settimana sono state identificate otto famiglie di malware che hanno colpito l’Italia. Tra queste, come scrivevamo ha avuto particolare rilevanza quella di AgentTesla, diffuso attraverso cinque campagne italiane e quattro generiche, sfruttando temi come “Documenti”, “Pagamenti”, “Preventivo”, “Ordine” e “Delivery”. Queste campagne hanno utilizzato email con allegati di vario tipo, tra cui BAT, JS, GZ, SCR, RAR e Z.
LummaC è stato propagato mediante tre campagne generiche incentrate sul tema “Aggiornamenti”, utilizzando email con allegati EXE. Remcos è stato distribuito attraverso tre campagne generiche sui temi “Documenti”, “Pagamenti” e “Ordine”, servendosi di email con allegati 7Z e link LHZ.
dcRat è stato veicolato da due campagne generiche sul tema “Aggiornamenti”, sempre tramite email con allegati EXE. Umbral è stato diffuso mediante una campagna generica che utilizzava email con allegato EXE.
Irata ha colpito l’Italia con una campagna sul tema “Banking”, diffondendo un APK malevolo tramite SMS. WinVNCRAT è stato propagato attraverso una campagna italiana sul tema “Pagamenti”, utilizzando email con allegati ZIP. Infine, FormBook è stato distribuito mediante una campagna italiana sul tema
Durante questa settimana, le campagne di phishing hanno coinvolto dodici marchi noti. Tra questi, si sono distinte per la loro frequenza le campagne che hanno preso di mira Aruba, AVG, Poste Italiane e cPanel.
Tuttavia, il fenomeno più preoccupante è stato rappresentato dalle numerose campagne di phishing non associate a marchi specifici, ma dirette verso servizi di webmail generici. Queste ultime si sono rivelate particolarmente insidiose, poiché il loro obiettivo primario era l’acquisizione illecita di dati sensibili degli utenti.
L’esame delle campagne malevole ha riscontrato quindici differenti formati di file. I file EXE hanno dominato la scena, essendo stati impiegati in quattro distinte occasioni. Gli altri formati come DLL, Z, BAT, GZ, SCR, APK, JS, PS1, SHTML, ZIP, LZH, 7Z, Xz e RAR sono stati utilizzati una sola volta ciascuno, contribuendo alla diversificazione delle minacce.
Riguardo alle modalità di propagazione, le email hanno mantenuto il primato come canale prediletto dai cybercriminali, con trentasette campagne separate che hanno sfruttato questo mezzo di comunicazione.
Gli SMS sono stati impiegati in due casi, dimostrando che anche i dispositivi mobili rimangono un obiettivo per le attività malevole. È interessante notare che non è stato registrato alcun uso della Posta Elettronica Certificata (PEC) per la diffusione di minacce.
Set 16, 2024 0
Set 13, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 17, 2024 0
Set 13, 2024 0
Set 12, 2024 0
Set 11, 2024 0
Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...