Aggiornamenti recenti Luglio 5th, 2024 3:16 PM
Lug 01, 2024 Stefano Silvestri Attacchi, Intrusione, Malware, Minacce, News, Phishing, Vulnerabilità 0
Il CERT-AGID, Centro di Risposta alle Emergenze Informatiche dell’Agenzia per l’Italia Digitale, questa settimana ha condotto un’intensa attività di monitoraggio e analisi della sicurezza informatica nel contesto italiano durante la settimana appena trascorsa.
Il centro ha identificato un totale di 31 campagne malevole. Di queste, 15 sono state specificamente indirizzate verso obiettivi italiani, mentre le restanti 16 campagne, pur essendo di natura più generica, hanno comunque avuto un impatto rilevante sul territorio italiano.
L’analisi approfondita di queste campagne ha portato all’identificazione di 265 indicatori di compromissione (IOC), che possono includere indirizzi IP, domini, hash di file malevoli e altre tracce digitali lasciate dagli attaccanti.
I temi più rilevanti della settimana hanno visto 17 temi sfruttati per veicolare campagne malevole in Italia. Tra essi spicca il tema “Conferma“, ricorrente nel phishing mirato a clienti Zimbra e Crédit Agricole; è stato usato anche per diffondere il malware AgentTesla via email in inglese.
Il tema “Scadenze” è stato impiegato per phishing contro Serverplan e webmail generiche, mentre “Rinnovo” ha caratterizzato campagne di phishing McAfee e Aruba. Gli altri temi hanno veicolato varie tipologie di malware e phishing.
Tra gli eventi di particolare interesse, si segnala un grave attacco alla supply chain del web service Polyfill.io, che ha coinvolto oltre 100.000 siti. Inoltre, è tornato a colpire l’infostealer 0bj3ctivity, assente da quasi un anno, a conferma dell’importanza di una vigilanza costante.
Nello scenario italiano sono state osservate 6 famiglie di malware, con alcune campagne di particolare rilievo questa settimana.
Il succitato infostealer obj3ctivity, precedentemente censito nell’ottobre 2023 e non più rilevato fino ad ora, è ricomparso con due campagne a tema “Preventivo”, una delle quali in italiano, diffuse tramite email con allegati JS. È riconosciuto col nome “PXRECVOWEIWOEI Stealer” da JoeSandbox.
AgentTesla è stato veicolato attraverso due campagne, una italiana e una generica, sui temi “Documenti” e “Conferma”, utilizzando allegati IMG e RAR. Come scritto poco sopra, un attacco significativo alla supply chain ha colpito il servizio Polyfill.io, usato da oltre 100.000 siti web, iniettando codice malevolo per reindirizzare gli utenti verso siti fraudolenti.
KoiStealer è stato diffuso tramite una campagna italiana a tema “Resend”, sfruttando un dominio italiano per il payload iniziale e un file ZIP contenente il malware, scaricato tramite un collegamento LNK.
StrRat è stato distribuito attraverso una campagna italiana a tema “Preventivo”, utilizzando email con allegato JAR denominato “RICHIESTA-QUOTAZIONI”. Infine, Remcos è stato diffuso con una campagna italiana che sfrutta il tema “Intesa San Paolo”, veicolata tramite email con allegato BAT.
Nel corso della settimana, le campagne di phishing hanno coinvolto 11 marchi noti, affiancate da altre 9 campagne che non hanno fatto uso di nomi di brand specifici per la loro diffusione. Tra le attività più rilevanti, spiccano le campagne mirate a Zimbra, McAfee e Aruba, che hanno attirato particolare attenzione per la loro portata e sofisticazione.
Di notevole impatto è stata anche una campagna ben architettata ai danni di Poste Italiane, che ha dimostrato un livello di elaborazione superiore nella sua esecuzione. L’obiettivo comune di queste operazioni fraudolente è stato il furto di informazioni sensibili degli utenti, con un focus particolare su credenziali di accesso e dettagli delle carte di credito.
I tipi di file utilizzati questa settimana sono stati 7. Sono stati tutti utilizzati una sola volta. Ecco dunque, in ordine alfabetico, i file JS, IMG, ZIP, LNK, JAR, RAR e BAT.
Per quanto riguarda i canali di diffusione, le email sono stato usate 31 volte.
Lug 05, 2024 0
Giu 27, 2024 0
Giu 26, 2024 0
Giu 24, 2024 0
Lug 05, 2024 0
Lug 04, 2024 0
Lug 04, 2024 0
Lug 03, 2024 0
Lug 05, 2024 0
Le botnet stanno spopolando tra i cybercriminali, anche per...Lug 02, 2024 0
Le coperture assicurative contro i cyberattacchi stanno...Lug 02, 2024 0
Telegram continua a essere una grande fonte di...Lug 01, 2024 0
Gli attacchi DDoS sono in aumento in tutto il mondo, ma il...Lug 01, 2024 0
Secondo l’ultimo Threat Report di ESET, negli...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 05, 2024 0
In un momento di forte digitalizzazione e...Lug 05, 2024 0
Le botnet stanno spopolando tra i cybercriminali, anche per...Lug 04, 2024 0
Splunk, fornitrice di soluzioni software per il...Lug 04, 2024 0
Migliaia di dispositivi Apple sono vulnerabili ad attacchi...Lug 03, 2024 0
Cisco ha risolto una vulnerabilità di command injection...