CERT AGID 15-21 febbraio: scoperte vulnerabilità nelle librerie per l'autenticazione a SPID e CIE

CERT AGID 15-21 febbraio: scoperte vulnerabilità nelle librerie per l’autenticazione a SPID e CIE

Feb 24, 2025 Stefano Silvestri Attacchi, Hacking, Intrusione, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

Nel corso della settimana, il CERT-AGID ha identificato e analizzato 68 campagne malevole nel contesto italiano di sua competenza.

Di queste, 30 erano mirate specificamente all’Italia, mentre le restanti 38, pur avendo un carattere generico, hanno comunque avuto un impatto sul Paese.

L’agenzia ha quindi messo a disposizione degli enti accreditati 1.048 indicatori di compromissione (IoC) rilevati.

I temi della settimana

Questa settimana sono stati individuati 20 temi sfruttati per la diffusione di campagne malevole in Italia.

Tra i più rilevanti, il tema “Ordine” è stato impiegato in numerose campagne, sia generiche che mirate al contesto italiano, con l’obiettivo di diffondere malware come Formbook, Modiloader, PXRECVOWEIWOEI, Guloader, AgentTesla, VipKeyLogger e Snake Keylogger.

Il tema “Documenti” è stato utilizzato per due campagne di phishing ai danni dell’Agenzia delle Entrate e per diverse operazioni, prevalentemente italiane, volte a diffondere i malware Lokibot, Mekotio, AgentTesla, Lumma Stealer, Xworm e Rhadamanthys.

Nel corso della settimana, il CERT-AGID ha identificato 68 campagne malevole e messo a disposizione degli enti accreditati 1.048 indicatori di compromissione (IoC) rilevati.

Nel settore “Banking“, è stata rilevata una campagna di phishing italiana contro utenti PayPal e un’altra di carattere generico rivolta ai clienti di HSBC. Inoltre, tre campagne italiane hanno sfruttato questo tema per diffondere i malware MassLogger RAT, SpyNote e Snake Keylogger.

Il tema “Fattura” è stato invece al centro di numerose campagne, in gran parte di carattere generico, finalizzate alla distribuzione di malware come Remcos, Mispadu, Mint Stealer e MassLogger RAT.

Tra gli eventi di particolare interesse, si segnala che negli ultimi giorni sono state individuate e risolte vulnerabilità nelle librerie .NET utilizzate per l’autenticazione a SPID e CIE.

Le falle di sicurezza, segnalate al CERT-AGID dalla società Shielder, riguardavano il meccanismo di verifica delle risposte SAML. Il problema interessava esclusivamente i Service Provider che avevano implementato l’autenticazione tramite queste librerie .NET, esponendoli a potenziali attacchi.

Parallelamente, il CERT-AGID ha rilevato nuove campagne di phishing che sfruttano il nome e il logo di INPS e dell’Agenzia delle Entrate. I cybercriminali, facendo leva sulla promessa di presunti rimborsi o sulla minaccia di sanzioni fiscali, cercano di indurre le vittime a fornire dati sensibili, tra cui nome, cognome, indirizzo, numero di telefono, copie di documenti d’identità e dati delle carte di pagamento.

Infine, a cinque mesi dall’ultima segnalazione, è tornata in Italia una campagna malevola mirata alla diffusione dell’infostealer “Obj3ctivity”, noto anche come “PXRECVOWEIWOEI”.

Questa volta l’attacco inizia con una mail in lingua italiana contenente un’immagine sfocata, che nasconde un collegamento a una pagina di download di un file JavaScript malevolo.

Fonte: CERT-AGID

Lo script, dopo una prima fase di offuscamento, scarica ed esegue un secondo script JS, che a sua volta attiva un comando PowerShell, concludendo l’infezione attraverso il download e l’esecuzione di un payload finale: un file eseguibile .NET codificato in base64.

Malware della settimana

Nel corso della settimana sono state individuate 19 famiglie di malware che hanno colpito il territorio italiano.

Tra le campagne di maggiore rilevanza emergono SnakeKeylogger, con due campagne italiane e sette generiche a tema “Ordine”, “Banking” e “Preventivo”, distribuite tramite email con allegati ZIP, RAR, Z e 7Z.

Formbook è stato rilevato in sei campagne generiche a tema “Prezzi”, “Ordine” e “Delivery”, diffuse attraverso email contenenti allegati ZIP, DOCX e XLS.

AgentTesla è invece stato identificato in tre campagne italiane e due generiche a tema “Ordine” e “Documenti”, veicolate tramite email con allegati ZIP, RAR e COM.

VIPKeylogger è stato coinvolto in quattro campagne generiche a tema “Pagamenti” e “Ordine”, propagate tramite email con allegati RAR, GZ e 7Z.

Masslogger è stato rilevato in due campagne italiane e due generiche con tematiche “Fattura”, “Preventivo” e “Banking”, diffuse attraverso email con allegati ZIP, PDF, ISO e TAR.

Lokibot è stato individuato in tre campagne italiane a tema “Ordine” e “Documenti”, veicolate tramite email con allegati ZIP e GZ. Remcos, invece, è stato rilevato in tre campagne generiche a tema “Ordine” e “Fattura”, diffuse tramite email con allegati DOCX e XZ.

Fonte: CERT-AGID

XWorm è stato distribuito in una campagna italiana a tema “Documenti” e in una generica a tema “Booking”, entrambe veicolate tramite email contenenti link a file malevoli. Modiloader è stato scoperto in due campagne italiane a tema “Ordine”, diffuse tramite email con allegato GZ.

Guloader è stato rilevato in due campagne italiane a tema “Ordine”, trasmesse via email con allegato Z. Rhadamanthys è stato individuato in due campagne italiane a tema “Documenti” e “Booking”, diffuse tramite email con documenti PDF contenenti link a script malevoli.

Spynote è stato protagonista di una campagna italiana a tema “Banking”, veicolata tramite link a file APK. Mispadu, invece, è stato coinvolto in una campagna generica a tema “Fattura”, diffusa tramite email con link a file ZIP.

PXRECVOWEIWOEI, del quale abbiamo scritto in precedenza, è stato rilevato in una campagna generica a tema “Ordine”, diffusa tramite email con link a script JS. Mekotio è stato individuato in una campagna generica a tema “Documenti”, diffusa tramite email con link a file ZIP.

LummaStealer è stato scoperto in una campagna italiana a tema “Documenti”, distribuita tramite email con allegato ZIP contenente script JS. MintStealer, invece, è stato rilevato in una campagna italiana a tema “Fattura”, veicolata tramite email con link a script JS.

ScreenConnect è stato protagonista di una campagna generica a tema “Conferma”, diffusa tramite email con link a file eseguibili malevoli. AsyncRat, infine, è stato individuato in una campagna generica a tema “Cryptovalute”, trasmessa tramite email con link a file malevoli.

Phishing della settimana

Nel corso della settimana sono stati coinvolti 9 brand nelle campagne di phishing.

Tra questi, spiccano per numero le campagne che sfruttano il nome di INPS e dell’Agenzia delle Entrate, utilizzate per ingannare gli utenti con false comunicazioni ufficiali.

Fonte: CERT-AGID

Come sempre, però, ancora più diffuse risultano le campagne di phishing legate a servizi di Webmail generici, il cui obiettivo principale è sottrarre credenziali e dati sensibili agli utenti attraverso messaggi ingannevoli.

Formati e canali di diffusione

Questa settimana il CERT-AGID ha rilevato l’uso di 17 diverse tipologie di file nella distribuzione di contenuti dannosi.

Tra i formati più sfruttati, il file ZIP si conferma il più diffuso, essendo stato impiegato in ben 17 campagne malevole per la diffusione di malware e tentativi di phishing.

Seguono i file GZ e RAR, utilizzati in 5 campagne ciascuno. I documenti DOCX sono stati coinvolti in 4 campagne, mentre i formati JS, Z, PDF ed EXE sono stati riscontrati in 3 casi.

Meno frequenti, ma comunque presenti, i file SHTML e 7Z, impiegati in 2 campagne, mentre i formati HTML, APK, XZ, URL, TAR, ISO e XLS sono stati usati una sola volta.