Aggiornamenti recenti Gennaio 13th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 4 – 10 gennaio: Vidar protagonista con una campagna malspam
- Una campagna di phishing sfrutta Microsoft 365 per compromettere gli account PayPal
- Gli Stati Uniti cambiano opinione sulla crittografia e sulle backdoor
- Le vulnerabilità dei dispositivi Moxa mettono a rischio le reti industriali
- CERT-AGID 28 dicembre – 3 gennaio: Poste Italiane e Intesa Sanpaolo sotto attacco
CERT-AGID 4 – 10 gennaio: Vidar protagonista con una campagna malspam
Nel corso della settimana, il CERT-AGID ha rilevato e analizzato 29 campagne malevole nel contesto italiano di sua competenza.
Tra queste, 18 erano mirate specificamente a obiettivi italiani, mentre 11 erano di natura generica ma hanno comunque coinvolto il territorio nazionale. Agli enti accreditati sono stati forniti 527 indicatori di compromissione (IoC) identificati durante l’analisi.
I temi della settimana
Questa settimana sono stati individuati 14 temi sfruttati per condurre campagne malevole sul territorio italiano.
Tra questi, il tema dei Pagamenti è stato utilizzato in due campagne di phishing: una italiana mirata contro Aruba, diffusa tramite PEC, e una generica che ha preso di mira DocuSign. Lo stesso tema è stato impiegato anche per diffondere i malware Rhadamantys e Vidar.
Il CERT-AGID ha rilevato 29 campagne malevole e fornito 527 indicatori di compromissione (IoC).
L’argomento degli Ordini è stato sfruttato per due campagne generiche che hanno distribuito il malware Formbook tramite email.
Una tematica è stata quella dello Spazio sul disco, alla base di una campagna italiana di phishing veicolata tramite Zimbra e di due campagne generiche legate a Mailbox e Webmail.
Il tema della Vincita è stato utilizzato per tre campagne di phishing italiane che hanno preso di mira ACI, Leroy Merlin e Decathlon.
L’argomento Legale, invece, è stato sfruttato per la diffusione del malware Rhadamantys. Gli altri temi rilevati sono stati utilizzati per supportare ulteriori campagne di phishing e malware di varia natura.
Tra gli eventi di rilievo della settimana spicca una nuova campagna malspam, veicolata tramite caselle PEC compromesse, che ha colpito l’Italia nelle prime ore di martedì mattina, sfruttando il rientro dalle ferie di molti.
Fonte: CERT-AGID
La campagna mirava a diffondere il malware Vidar e ha portato all’identificazione e al blocco di 148 domini di secondo livello utilizzati per la distribuzione del malware. Gli attacchi hanno sfruttato percorsi randomizzati e una nuova tecnica di offuscamento del codice.
Come in casi precedenti, gli URL coinvolti sono rimasti inattivi nelle prime ore, attivandosi solo successivamente.
Malware della settimana
Nel corso della settimana, sono state identificate varie famiglie di malware che hanno coinvolto il territorio italiano.
Tra le campagne più rilevanti spiccano quelle legate a Rhadamanthys, con tre operazioni italiane: due a tema “Legale” e una a tema “Pagamenti”, diffuse tramite email contenenti allegati PDF e link a file ZIP.
Anche Remcos è stato protagonista con due campagne generiche basate sui temi “Preventivo” e “Ordine”, veicolate attraverso email con allegati GZ.
Fonte: CERT-AGID
FormBook è stato rilevato in due campagne generiche, entrambe sfruttanti il tema “Ordine” e diffuse tramite email contenenti file ZIP e RAR. LummaStealer è emerso in due campagne distinte: una italiana legata al tema “Verifica” e una generica associata agli “Aggiornamenti”.
Per SnakeKeylogger è stata individuata una campagna generica sul tema “Prezzi”, diffusa con email contenenti allegati GZ.
Tra le attività italiane si segnala una campagna legata a VIPKeylogger, veicolata tramite email con allegati RAR, e un’operazione di Vidar a tema “Pagamenti”, diffusa attraverso caselle PEC compromesse con link a script JS malevolo.
Infine, njRAT è stato utilizzato in una campagna generica sul tema “Aggiornamenti”, mentre un indirizzo IP italiano, legato a Brute Ratel, è stato rilevato e associato a un’infrastruttura di Command and Control.
Phishing della settimana
Nel corso della settimana sono stati individuati 13 brand presi di mira dalle campagne di phishing.
Tra i marchi maggiormente colpiti spiccano Intesa Sanpaolo, Poste Italiane e Leroy Merlin, spesso sfruttati per indurre le vittime a fornire credenziali o informazioni personali sensibili.
Fonte: CERT-AGID
Un dato ancora più significativo riguarda però il gran numero di campagne che hanno avuto come tema principale le Webmail generiche, una scelta che evidenzia una strategia volta a colpire una platea più ampia e non limitata a specifici marchi o settori.
Questa diffusione sottolinea l’importanza di rafforzare la consapevolezza degli utenti e l’adozione di misure preventive per ridurre i rischi di compromissione.
Formati e canali di diffusione
Il rapporto settimanale del CERT-AGID ha messo in luce l’utilizzo di sei diverse tipologie di file impiegate per distribuire contenuti dannosi, evidenziando una varietà di formati utilizzati dai criminali informatici per veicolare le loro campagne.
Tra i file analizzati, i formati PDF e GZ sono risultati i più frequentemente sfruttati, con tre campagne ciascuno che ne hanno approfittato per ingannare le vittime. Subito dopo si collocano i file RAR e ZIP, utilizzati in due campagne ciascuno, mentre i formati JS e PS1 sono stati impiegati in un’unica operazione.
Fonte: CERT-AGID
Per quanto riguarda i canali di diffusione, le email si confermano il mezzo privilegiato dagli attaccanti, con ben 23 campagne identificate che hanno utilizzato questo vettore per raggiungere gli obiettivi. Inoltre, la Posta Elettronica Certificata (PEC) è stata sfruttata in 4 campagne malevole, confermando la crescente attenzione dei criminali verso questo sistema ritenuto tradizionalmente più sicuro.
Gli SMS, infine, sono stati impiegati in 2 campagne, dimostrando come anche i messaggi brevi continuino a rappresentare un’opzione per condurre attacchi mirati.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e... -
Crescono gli attacchi zero-day nei dispositivi edge di rete Negli ultimi anni gli attacchi zero-day nei dispositivi... -
Sempre più aziende redigono i report sugli incidenti di... Nonostante gli sforzi per redigere e consegnare i report... -
Gli hacker nord-coreani hanno rubato 1.3 miliardi di... Tempo di bilanci di fine anno anche per il mondo della...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
CERT-AGID 4 – 10 gennaio: Vidar protagonista con una... Nel corso della settimana, il CERT-AGID ha rilevato e... -
Una campagna di phishing sfrutta Microsoft 365 per... Di recente è emersa una nuova campagna di phishing che... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha...
-
Le vulnerabilità dei dispositivi Moxa mettono a rischio le... Lo scorso venerdì Moxa, provider di reti industriali, ha... -
CERT-AGID 28 dicembre – 3 gennaio: Poste Italiane e... Nel corso della scorsa settimana, il CERT-AGID ha...
Ransomware: la serie
No posts found.
