Aggiornamenti recenti Febbraio 20th, 2025 9:18 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le soluzioni di BeyondTrust per la sicurezza IT e OT arrivano in Italia
- Torna Growth Academy di Google: AI for Cybersecurity. Presente anche una startup italiana
- whoAMI, l’attacco di name confusion che sfrutta un errore di configurazione di AWS
- Acronis: AI e ransomware le minacce del 2024, l’Italia tra i più colpiti
- Una nuova backdoor in GoLang sfrutta Telegram come canale C2
CERT AGID 08-14 febbraio: GoldenLeaks diffonde una combolist di 90.000 account italiani
Questa settimana, il CERT-AGID ha identificato e analizzato 40 campagne malevole nel panorama italiano di sua competenza, di cui 18 mirate specificamente all’Italia e 22 di carattere generico ma comunque rilevanti per il Paese.
Agli enti accreditati sono quindi stati forniti 837 indicatori di compromissione (IoC).
I temi della settimana
Questa settimana sono stati sfruttati 19 temi per diffondere campagne malevole in Italia.
Tra i più rilevanti spicca il settore bancario (Banking), impiegato in campagne di phishing via PEC e smishing mirate ai clienti di Intesa Sanpaolo, oltre che per diffondere il malware MassLogger RAT.
Il tema Ordine è stato utilizzato in diverse campagne generiche finalizzate alla distribuzione dei malware Formbook e Snake Keylogger.
Documenti è stato invece il pretesto per una campagna di phishing rivolta agli utenti INPS e per quattro operazioni, due italiane e due generiche, che hanno diffuso i malware Remcos e Snake Keylogger.
Fonte: CERT-AGID
Gli altri temi sono stati impiegati per campagne di malware e phishing di vario genere.
Tra gli eventi di maggiore rilievo della settimana, il CERT-AGID ha individuato una campagna di phishing che ha sfruttato il nome e il logo dell’Agenzia delle Entrate.
I cybercriminali, facendo leva sulla promessa di un presunto rimborso di 238,56 euro, hanno cercato di indurre le vittime a fornire informazioni personali sensibili, tra cui nome, cognome, indirizzo di residenza, numero di telefono e dati della carta di pagamento.
Parallelamente, un utente noto come GoldenLeaks ha diffuso su diversi forum underground una combolist contenente indirizzi email e password in chiaro di circa 90.000 account appartenenti a cittadini italiani, esponendo così un vasto numero di utenti a potenziali attacchi informatici.
Malware della settimana
Nel corso della settimana sono state individuate 9 famiglie di malware che hanno colpito l’Italia.
Tra le campagne più rilevanti, il Snake Keylogger è stato diffuso attraverso cinque campagne generiche a tema “Ordine”, “Documenti” e “Delivery”, con email contenenti allegati ZIP e GZ.
Discorso analogo per il malware FormBook è stato rilevato in quattro campagne generiche legate ai temi “Prezzi”, “Ordine” e “Pagamenti”, veicolate tramite email con allegati ZIP, RAR, GZ e HTML.
Il trojan Remcos è stato distribuito attraverso quattro campagne, due italiane e due generiche, sfruttando i temi “Documenti” e “Legale”, con allegati ZIP nelle email. MassLogger, invece, è stato utilizzato in due campagne italiane a tema “Banking”, diffuse tramite email con allegati ISO.
Fonte: CERT-AGID
Un’altra minaccia significativa è ScreenConnect, individuata in una campagna italiana a tema “Convalida”, veicolata tramite email PEC contenenti link a un file EXE malevolo.
Tra le altre campagne, il malware AgentTesla è stato diffuso in un’operazione generica a tema “Preventivo” con allegati ZIP, mentre AsyncRAT è stato individuato in una campagna italiana legata al tema “Legale”, veicolata con email contenenti allegati dannosi.
Infine, LummaStealer e DarkVision hanno colpito l’Italia con campagne a tema “Pagamenti”, rispettivamente attraverso email con link a file PS1 ed email contenenti link a file EXE.
Phishing della settimana
Nel corso della settimana, sono stati sfruttati 10 brand nelle campagne di phishing, con l’obiettivo di ingannare gli utenti e sottrarre loro informazioni sensibili.
Tra questi, spiccano per numero le campagne che hanno preso di mira i clienti di Intesa Sanpaolo e Aruba, sfruttando il loro nome e il loro logo per rendere più credibili i messaggi fraudolenti.
Come sempre, a destare ancora più preoccupazione sono state le numerose campagne di webmail generiche non brandizzate, che non si sono legate a marchi specifici ma hanno puntato direttamente a compromettere gli account degli utenti, inducendoli a fornire credenziali di accesso e dati personali attraverso pagine web contraffatte.
Fonte: CERT-AGID
Formati e canali di diffusione
Il CERT-AGID questa settimana ha evidenziato l’impiego di 11 differenti tipologie di file nella diffusione di contenuti dannosi.
Tra i formati più utilizzati, il file ZIP si conferma lo strumento prediletto, impiegato in ben 11 campagne malevole per veicolare malware e phishing.
Seguono i file PS1, GZ, RAR e HTML, ciascuno sfruttato in due campagne. Meno diffusi, ma comunque presenti, si trovano i file EXE, BAT, IMG, DLL, CMD e ISO, ognuno rilevato in un singolo attacco.
Per quanto riguarda i canali di distribuzione, le email si confermano il principale vettore d’attacco, coinvolte in 33 campagne malevole. Questo dato ribadisce l’efficacia del phishing e della diffusione di malware tramite allegati infetti o link fraudolenti, dimostrando che la posta elettronica resta uno degli strumenti preferiti dai criminali informatici per colpire gli utenti.
Fonte: CERT-AGID
Le caselle PEC, nonostante offrano un livello di sicurezza superiore rispetto alla posta elettronica tradizionale, sono state ugualmente sfruttate in 6 campagne, segno che i cybercriminali stanno affinando le loro strategie per colpire anche canali considerati più affidabili.
Infine, gli SMS sono stati utilizzati come vettore d’attacco in una sola campagna malevola.
Condividi l'articolo
Una nuova backdoor in GoLang sfrutta Telegram come canale C2
Il filtro di FlashStart per la navigazione sicura è il più veloce al mondo secondo DNSperf
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Acronis: AI e ransomware le minacce del 2024, l’Italia... Il panorama delle minacce informatiche continua a evolversi... -
Microsoft rivela BadPilot, una campagna pluriennale di... Ieri Microsoft ha pubblicato un’approfondita analisi... -
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti si dicono... -
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
L’IA generativa rivoluziona il cybercrimine e rende... Gli ultimi giorni dell’anno sono da sempre...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Le soluzioni di BeyondTrust per la sicurezza IT e OT... BeyondTrust, azienda statunitense che sviluppa e... -
Torna Growth Academy di Google: AI for Cybersecurity.... Torna Growth Academy di Google: AI for Cybersecurity, il... -
whoAMI, l’attacco di name confusion che sfrutta un... I ricercatori di Datadog hanno individuato whoAMI, un... -
Una nuova backdoor in GoLang sfrutta Telegram come canale La scorsa settimana Netskope ha individuato una nuova... -
CERT AGID 08-14 febbraio: GoldenLeaks diffonde una... Questa settimana, il CERT-AGID ha identificato e analizzato...
Ransomware: la serie
No posts found.
